windows组策略管理.docx

1、windows组策略管理Windows2008组策略管理 目 录Windows2008组策略管理 1一、 导读 1二、 组策略概述 2三、 组策略基础架构 21 计算机配置部分 32 用户配置部分 5四、 本地组策略和域组策略 61. 本地组策略 62. 域组策略 7五、 组策略的管理和维护 81. 创建组策略 82. 链接组策略 103 组策略应用顺序 114 组策略的阻止和强制继承 125 组策略备份 13六、 组策略应用场景举例 151. 应用组策略设置用户工作环境 152. 应用组策略配置高级安全Windows防火墙 223. 应用组策略实现软件部署 264. 应用组策略实现QoS带宽

2、管理 30七、 组策略管理控制台使用进阶 361. 使用策略结果分析策略应用情况 362. 使用组策略建模模拟策略应用结果 39八、 参考资料 43一、 导读组策略的构成组策略的生效规则及顺序组策略在实际管理环境中的应用举例检查策略结果二、 组策略概述在Windows Server 2008和Windows Vista的环境中,组策略在功能特性都有了不少的扩大与加强。目前已有了超过5000个设置，拥有更多的管理能力。使组策略来简化IT环境管理，已成为用户必须了解的技术。实际上组策略是一种让管理员集中计算机和用户的手段或方法。组策略适用于众多方面的配置，如软件、安全性、IE、注册表等等。在活动目

3、录中利用组策略可以在站点、域、OU等对象上进行配置，以管理其中的计算机和用户对象，可以说组策略是活动目录的一个非常大的功能体现。通过此章的学习，将让您更擅长、高效的管理组策略的设计、实施、应用和排错。三、 组策略基础架构如图所示组策略分为两大部分：计算机配置和用户配置。每一个部分都有自己的独立性，因为他们配置的对象类型不同。计算机帐户部分控制计算机帐户，同样用户配置部分控制用户帐户。其中有部分配置在计算机部分拥有在用户部分也有同样的配置，他们是不会跨越执行的。假设某个配置选项你希望计算机帐户启用、用户帐户也启用，那么就必须在计算机配置和用户配置部分都进行设置。总之计算机配置下的设置仅对计算机对

4、象生效，用户配置下的设置仅对用户对象生效。1 计算机配置部分展开计算机配置部分你会看到如图有三个主要的部分: 软件设置 这一部分相对简单,它可以让你实现MSI、ZAP等软件部署分发。 Windows设置这一部分更复杂一些，包含很多子项，如图子项都提供很多选择，账户策略能够对用户账户密码等进行管理控制；本地策略则提供了更多的控制如审核、用户权利、以及安全设置。特别是安全设置包括了超过75个的策略配置项。还有其它的地一些设置，如防火墙设置、无线网络设置、PKI设置、软件限制等等。 管理模板这一部分使设置项最多的，包含各式各样的对计算机的配置。如图这里有五个主要的配置管理方向，Windows组件、打

5、印机、控制面板、网络、系统。其中包含了超过1250个设置选项，涵盖了一台计算的非常多的配置管理信息。 2 用户配置部分用户配置部分类似于计算机配置，主要不同在于这一部分配置的目标是用户账户的，而相对于用户账户而言会有更多对用户使用上的控制。如图所示这一部分同样也包含三大部分 软件设置我们可以通过在这里配置实现针对用户进行软件部署分发。 Windows设置这一部分就与计算机配置里的Windows设置有了很多的不同，如图可以看到其中多了“远程安装服务”“”、“文件夹重定向”、“IE维护”等，而在安全设置中只有“公钥策略”和“软件限制”“。 管理模板在这一部分展开后，你会发现比起计算机配置里的管理模

6、板这里有更多的配置，如图：用户部分的管理模板可以用来管理控制用户配置文件，而用户配置文件是可以影响用户对计算机使用体验，所以这里面出现了“开始菜单”“、”桌面“、”“任务栏”、“共享文件夹”等配置。四、 本地组策略和域组策略1. 本地组策略Windows 2000、windows xp、windows vista、windows 2003、windows 2008等等计算机都有且只有一份本地组策略。本地组策略的设置都存储在各个计算机内部，不论该计算机是否属于某个域。本地组策略包含的设置要少于非本地组策略的设置，像在“安全设置”上就没有域组策略那么多的配置，也不支持“文件夹重定向”和“软件安装”

7、这些功能。在任意一台非域控制器的计算机上编辑管理本地组策略步骤如下：1）在开始菜单中运行，输入MMC2）在MMC控制台点击“文件”“，再点击“添加删除管理单元”3）在列表中选择“组策略对象编辑器”，并点击添加4）在向导界面上默认出现“本地计算机策略“，点击完成，点击确定5）展开“本地计算机策略“，展开”计算机配置“、”用户配置“如图：2. 域组策略与本地组策略的一机一策略不同,在域环境内可以有成百上千个组策略能够创建和存在于活动目录中。并且能够通过活动目录这个集中控制技术实现整个计算机、用户网络的基于组策略的控制管理。在活动目录中我们可以为站点、域、OU创建不同管理要求的组策略，而且允许每一个

8、站点、域、OU能同时设施多套组策略。我们可以使用windows server 2008自带组策略管理工具来查看管理组策略，步骤如下：1）开始菜单中点运行，输入gpmc.msc2）在GPMC管理界面展开森林和域节点3）在域节点展开组策略对象节点这样就能看到如下图所示的组策略列表。从上图的列表中，我们可以去创建更多的组策略，并且能够根据需求将组策略应用到相应的站点、域、OU去，实现对整个站点、整个域、或某个特定OU的计算机和用户的管理控制。五、 组策略的管理和维护1. 创建组策略在域环境中已经有了一套默认的域组策略,我们可以通过对默认域策略进行配置,实现我们对全域里的计算机和用户管理配置。但这不是

9、一种好的做法。通常我们需要进行配置管理时都将新建一套组策略来进行配置实现管理。要新建立一个组策略步骤如下：在开始菜单运行gpmc.msc或者从开始菜单导向到”管理工具”,然后选择”组策略管理”快捷方式,打开“组策略管理”控制台在组策略管理控制台,右键点选”组策略对象”，点“新建”在新建GPO对话框输入要新建的组策略名称，一般推荐命名时体现该组策略将要实现的管理功能以及应用的范围，如下图“财务部门软件部署策略”，这样有利于将来对大量的组策略进行管理，甚至排错。输入完成后点击确定，这样就创建好了，接下来就可以点选创建好的组策略进行编辑配置。2. 链接组策略在我们建立好了一些新的组策略后，还需要将组

10、策略与容器对象链接起来，以实现管理目的。我们可以链接的容器有站点、域和OU，通过对不同的容器进行链接，可以达到对管理范围的控制。比如我们只需要对Sales部门的计算机或用户进行一些基于组策略的管理配置，那么我们就可以将某个新建立的组策略与Sales部门的OU进行链接。链接组策略步骤如下：在开始菜单运行gpmc.msc或者从开始菜单导向到”管理工具”,然后选择”组策略管理”快捷方式,打开“组策略管理”控制台，在控制台上选择好需要链接策略站点、域或者OU，右键后选择“链接现有GPO”，下图以财务部OU链接“财务部门软件部署策略”组策略为例。3 组策略应用顺序组策略由于应用范围划分可以分为站点级别组

11、策略、域级别组策略、OU级别组策略以及本地计算机策略。对于一台客户端一定是属于某一个站点、某一个域、某一个OU的，那么各个级别的组策略客户端都将应用，它们的应用生效的顺序是最接近目标计算机的组策略 优先于组织结构中更远一点的组策略。如下图：该顺序意味着首先会处理本地组策略，最后处理链接到计算机或用户直接所属的组织单位的组策略，后处理的组策略会覆盖先处理的组策略中有冲突的设置。（如果不存在冲突，则只是将之前的设置和之后的设置进行结合。）4 组策略的阻止和强制继承从上一节我们了解到的组策略应用顺序，其实就是一个默认继承的规则。在域内次一级的容器会默认继承使用上一级的容器链接的组策略。假设在域策略中

12、我们设置了用户不允许更改桌面的策略配置，那么该域内的财务部门OU中的用户默认情况下都会应用该策略配置。但是我们可以根据实际应用需求去人为的干预默认的继承规则，可以阻止或强制继承。阻止继承：在“组策略管理”控制台中，右键选择要不继承上一级容器组策略的容器，选择阻止。如图：强制继承：在实际应用中有时我们需要上一级容器的组策略配置被应用到子容器中去，并且要求在冲突时不被子容器的策略覆盖，我们这时就可以使用强制继承。同样在“组策略管理控制台”上，右键点选上一级的组策略对象，然后选择“强制”，如图：5 组策略备份打开组策略管理控制台,在控制台树中，展开“组策略对象”。 要备份单个 GPO，右键单击该 G

13、PO，然后单击“备份”。要备份域中的所有 GPO，右键单击“组策略对象”，然后单击“全部备份”。 在“备份组策略对象”对话框中，输入您想保存备份的路径到“位置”框，或单击“浏览”定位到您想保存备份的文件夹，然后单击“确定”。在“描述”框中，输入您要备份的 的描述，然后单击“备份”。操作完成后，单击“确定”。六、 组策略应用场景举例1. 应用组策略设置用户工作环境在这类场景中我们假定要对整个域内的用户工作环境做一些统一的设定，因此新建了一套组策略“全域用户工作环境策略”并链接到了域级别容器上，而后开逐项配置（好的做法是在逐项配置完成后再链接到相应容器），如图：应用组策略来设定工作环境的配置项非常

14、之多，在本节我们以四个场景为例：场景1实现“我的文档”文件夹重定向，确保用户在网络中任意节点登陆，都可访问各自的数据，且确保不因为客户端故障导致“我的文档”中文件丢失。步骤1：在域内文件服务器上新建一个共享文件夹，并赋予此文件所有用户都有通过网络访问的读写权限。这里假定共享文件夹的访问路径为：FileServerdocroot步骤2：打开编辑“全域用户工作环境策略”，定位到“用户配置”“文件夹重定向”“文档”，右键选择属性，如图：步骤3：进行属性配置编辑，如下图：步骤4：设置完成，对客户端测试，本书略。场景2控制客户端显示统一桌面壁纸设定，实现企业工作环境统一的VI形象。步骤1：打开编辑“全域

15、用户工作环境策略”，定位到“用户配置”“管理模板”“桌面”，如图：步骤2：设定统一的桌面墙纸文件，双击上图中右边“桌面墙纸”，进行配置，如下图：步骤3：设定用户不能自行修改桌面，双击“桌面墙纸”之上的配置项“不允许更改”进行启用配置。如图：步骤4：配置完成，对客户端进行测试，本书略。场景3实现客户端驱动器不自动播放，有时由于光驱的自动播放文件不好读取时会导致系统资源占用甚至死机，还有些时候只是系统刚认到一个U盘就让机器中毒了，这些现象全都可以通过禁止驱动器自动播放的策略得到终结。 步骤1：打开编辑“全域用户工作环境策略”，定位到“用户配置”“管理模板”“windows组件”“自动播放策略” 步

16、骤2：在右边工作区双击“关闭自动播放”进行配置，如图：场景4限制移动磁盘使用加强企业文件安全性。这项功能比起在windows2003中用组策略实现来说,windows 2008实现起来就简单太多了。 步骤1：打开编辑“全域用户工作环境策略”，定位到“用户配置”“管理模板”“系统”“可移动存储访问” 步骤2：在右边工作区选择相应需求的配置进行启用设定，如图2. 应用组策略配置高级安全Windows防火墙Windows Server 2008中的高级安全防火墙(WFAS)有了较大的改进，支持双向保护，可以对出站、入站通信进行过滤,而且还集成了”连接安全规则”设定。可以实现企业所需的方式配置密钥交换

17、、数据保护以及身份验证设置。更有实用价值的是,如果你使用组策略来在一个企业网络中配置高级安全Windows防火墙的话，可以配置一个域中所有计算机使用相同的防火墙设置,并且本地系统管理员是无法修改这个规则的属性的。 场景:某企业所有计算机都在统一域环境内,并且该企业要求较高的安全网络通讯，希望做到非域内的计算机或者非域内的用户无法正常访问域内数据。使用组策略步骤如下：步骤1：打开组策略管理控制台，定位到“组策略对象”，新建“域内安全网络通讯策略”步骤2：打开“域内安全网络通讯策略”进行编辑，定位到“计算机配置”“windwos设置”“安全设置”“高级安全Windows防火墙”“连接安全规则”右键

18、点“新规则”如图：步骤3：编辑新规则，选择“隔离”“入站和出站连接要求身份验证”“计算机和用户（kerberos V5）”“计算机连接到域时应用规则”如图：步骤4：输入规则名称，这里取名为“安全的域内连接规则”步骤5：将编辑好的“域内安全网络通讯策略”链接到域，完成配置。3. 应用组策略实现软件部署在企业中常常会有批量的软件安装需求，有时是所有客户端需要，有时是某个部门需要。更有特殊情况是要求某些用户无论在哪个计算机上登录都可使用某个软件。在此我们分两个场景来给大家介绍用组策略实现软件部署。场景1财务部的人员有大量原始票据扫描图片需要查看，因此需要给财务部门的电脑都安装上Acdsee这个图片工

19、具。出于以上需求我们决定用组策略来实现对财务部门的软件部署。步骤1：打开组策略管理控制台，定位到“组策略对象”，新建“财务部门软件部署策略”步骤2：在域中的文件服务器服务器新建共享文件夹允许财务人员访问，并将需要安装的软件放入该文件夹。步骤3：打开“财务部门软件部署策略”进行编辑，定位到“计算机配置”“软件设置”“软件安装”右键后点选属性步骤4：进行软件分发站点的设置，如图设置步骤2的共享文件夹路径步骤5：添加要安装的软件，如图步骤6：将“财务部门软件部署策略”链接到“财务部PC”OU，如图步骤7：重新启动财务部门的PC，完成软件安装。场景2继场景1的环境，财务部门的PC都安装了Acdsee软

20、件，可以财务部门的工作人员提出有时候他们需要到其他机器上也使用这个软件，但那些机器的其他用户并不需要这个软件。基于这种需求我们任然可以用上一场景的“财务部门软件部署策略”来实现。步骤1：打开“财务部门软件部署策略”进行编辑，定位到“用户配置”“软件设置”“软件安装”右键后点选属性步骤2：进行软件分发站点的设置，配置方式参考场景1步骤4步骤3：添加要安装的软件，参考场景1步骤5步骤4：将“财务部门软件部署策略”链接到“财务部USER”OU步骤5：完成设置，财务人员登录机器后则可开始安装使用。综合分析说明：在两个场景中我们使用了同一套“财务部门软件部署策略”，我们在此策略的计算机部分和用户部本均做

21、了配置，当我们把它链接到“财务部PC”OU时，由于“财务部PC”OU内的帐户都是计算机帐户，所以“财务部门软件部署策略”的用户部分不会产生作用。反之策略链接到“财务部USER”OU时由于此OU内账户均是用户帐户，也就只有策略的用户配置部分会产生作用。此外需说明的是，在用户部分配置的软件安装，在用户登录时软件并没有真的被安装上，策略中设置的安装方式是“指派”时需要在用户点击了快捷方式后才真正安装；策略中设置的安装方式是“发布”时需要在用户进入”添加删除程序“中进行安装。提示：以上场景用来帮助大家理解组策略软件部署，在实际应用中并不推荐把同一个软件既指派给用户，又指派给计算机，这样会造成管理混乱。

22、4. 应用组策略实现QoS带宽管理QoS带宽管理是网管在管理网络中一种必不可少的手段，可以有效地提高带宽的使用率，特别是针对企业的关键应用，使之得到优先的带宽保证。Windows Server 2008 提供了以前任何版本Windows服务器都不具备的QoS带宽管理策略。这就使得我们进行QoS带宽管理可以不再依赖于专用的设备，而且设置更为灵活简单。一般的QoS带宽管理设备都会有一定并发数量的限制，而用组策略来控制就没有这个问题，因为这些带宽的控制全都分布到每一个客户端自己网卡上去控制了。场景：使用组策略分配域内所有计算机的出口带宽 步骤1：打开“组策略管理”控制台，新建组策略名为“全域出口带宽

23、限制策略”，并打开进行配置。步骤2：定位到计算机配置windows设置基于策略的QoS，右键点击，选择新建策略，如图：步骤3：设定策略名称，指定最高使用带宽。如图：步骤4：设定相关的应用程序，也就是说我们可以把上一步设定的带宽绑定到某个特定的应用程序上，比如FTP软件。我们这里选择选择所有应用程序。如图：步骤5：设定要控制的数据流量的来源和方向，由于我们是要控制出口带宽，那么我们这里只需要配置上网关服务器的地址作为目标。如图：步骤6：设定需要参与控制的协议及端口号，由于我们是要控制任何到出口网关的流量所以我们选择了所有协议和所有端口。如图：步骤7：将配置好的组策略对象链接到域，完成配置。策略应

24、用前后网络带宽使用对比如下图:通过以上的配置过程我们可以发现，基于策略的QoS不但可以控制出口带宽，还可以应用到更多场景，比如某些客户端访问特定服务器的流量控制，某些应用程序在网络中的流量控制。并且由于这个策略在组策略的用户配置部分也有，那么就可以用来控制不同的人在不同的计算机上使用不同的应用而被控制着使用被管理的带宽。七、 组策略管理控制台使用进阶在上述章节中我们使用GPMC（组策略管理控制台）对组策略对象进行了创建、编辑、链接、阻止、继承等等操作，接着我们再来了解一下策略结果分析和策略应用结果模拟测试。1. 使用策略结果分析策略应用情况我们可以使用”Gpresult”或者是”组策略结果”，

25、可以知道客户端拿到了哪些策略。前者是命令行模式，后者是图形界面，功能都是相同的。下面介绍”组策略结果”的使用。步骤1: 在组策略管理控制台 (GPMC) 控制台树中，双击要在其中创建组策略结果查询的林，右键单击“组策略结果”，然后单击“组策略结果向导”。如图：步骤2: 在组策略结果向导中，单击“下一步”，然后输入相应的信息，可以选择需要查看的计算机或用户如图：步骤3:完成向导后，单击“完成”,开始查看报告。可以选择全部显示，也可以选择逐项显示，从而进行检查改计算机应用了哪些组策略对象。如图：步骤4：可以选择将结果打印或保存文件，右键点击显示界面即可选择。如图：2. 使用组策略建模模拟策略应用结果由于我们在一个域环境内可能设置了多条组策略，其中有一些继承或者阻止继承的策略，那么多条策略最终将会对我们的计算机和用户产生什么样的影响，就成为管理员常常关心的问题。我们可以使用GPMC内置的“组策略建模”功能对相应的某个域内容器做一个策略应用结果的综合模拟。使用步骤如下：步骤1：打开组策略管理控制台，定位到“组策略建模”，右键选择“组策略建模向导”步骤2：使用向导建模步骤3：选择模拟的域控制器步骤4：选择为那个容器下的计算机和用户模拟策略应用，如图：步骤5：根据向导选择完成安全组、站点等设置如图：步骤6 完成模拟察看模拟结果，如图: