windows组策略实用指南

dn001 2007-10-08 11:13:59

1、什么是组策略？
在 Windows® 2000 / Windows® Server 2003操作系统中，您（系统管理员）使用“组策略”为用户和计算机组定义用户和计算机配置。您通过使用“组策略”Microsoft 管理控制台 (MMC) 管理单元为特定用户和计算机组创建具体的桌面配置。所创建的“组策略”配置包含在一个“组策略对象”(GPO) 中，该对象转而又与选定的 Active Directory™ 服务容器如站点、域或组织单位 (OU) 等关联。

2、组策略可以干什么？
管理员使用组策略来为计算机和用户组指定桌面配置的选项。组策略包括基于注册表的策略设置、安全设置、软件安装、脚本和文件夹重定向。

使用“组策略”管理单元，您可以指定下列各项的策略设置：
（1）基于注册表的策略。包括 Windows® 2000 / Windows® Server 2003 操作系统及其组件以及应用程序的组策略。要管理这些设置，您可以使用“组策略”管理单元的“管理模板”节点。
（2）安全性选项。包括针对本地计算机、域和网络安全设置的选项。
（3）软件安装和维护选项。用来集中管理应用程序的安装、更新和删除。
（4）脚本选项。包括用于计算机启动和关闭，以及用户登录和注销的脚本。
（5）文件夹重定向选项。允许您将用户的特殊文件夹重定向到网络。
使用组策略，您就可以对用户工作环境状态只定义一次，然后靠系统实施管理员定义的策略。
本文将就以上内容中比较常用的部分进行介绍。

3、如何使用组策略安装软件？
3.1; 在组策略编辑器中的位置
对计算机中的每个用户：计算机配置→软件设置→软件安装
对当前登录的用户：用户配置→软件设置→软件安装

本节中描述的主要是使用较多的前一种情况。

3.2; 原理

在成员计算机重新启动时，系统会自动检测是否有组策略需要应用。一旦发现当前计算机或用户的组策略结果集中指定了软件安装或升级，则成员计算机会自动从共享路径安装所指定的软件。在整个过程中，我们需要做两件事：
（1）在域控制器上设置相应的组策略
（2）重启成员计算机，检查软件是否正确安装
3.3; 步骤和示例
我们以安装LCSClient 为例，来说明使用组策略安装软件的过程
（1）拷贝安装文件（MSI安装包）到在一台成员机上（假设机器名为ComputerA），并为所在目录设置共享（假设共享名为LCSClient），确保 everyone 可读
（2）在域控制器上，从管理工具中打开 Active Directory 用户和计算机
（3）在打开的界面的左边的树中，找到所在的域，右键→新建→组织单位，输入名称（假设为 OUX）
（4）右键 OUX ，属性→组策略→新建，选中刚新建的组策略→编辑
（5）在打开的组策略编辑器中，选择计算机设置→软件设置→软件安装，右键新建→程序包
（6）在选择路经的输入框中，输入 ComputerA.domainnameLcsClient (将domainname 替换位所在的域名)，打开，选择Communicator.msi ，稍后此程序包会在列表中出现，关闭编辑器，回到 Active Directory 用户和计算机界面
（7）将要安装 LCSClient 的机器从 Computers（左树）里面移动到 OUX
（8）完成，重启OUX中的机器（可能需要重启两次），以测试安装是否成功，如不成功，则查看所在机器的应用程序日志，并记录错误
3.4; 部署过程中应该注意的问题
3.4.1; 区分计算机策略和用户策略
组策略分为两大类，计算机策略和用户策略

计算机策略即对活动目录中的计算机实施的策略。实施计算机策略时，必须将计算机加入需要实施策略的OU。

用户策略即对活动目录中的用户桌面和配置实施的策略。对用户实施策略时，必须将用户加入需要实施策略的OU。

3.4.2使用计算机策略以避免用户权限的问题。

一般来说，安装软件应该使用计算机策略，以避免同一个软件在一台计算机上被安装多次，以及因为用户权限不够导致的问题。
比如说，用管理员分配的域帐号登录到本地计算机时，可能是users 或者 power users 组权限，而很多的软件安装需要 administrator 组权限。使用计算机策略则不存在此问题，因为使用计算机策略会自动使用管理员帐号安装。

3.4.3; 应该对OU实施策略而不是整个域
一般来说，不推荐对整个域实施组策略。如果你在所在的域上实施组策略，则无论是计算机策略还是用户策略，都会被全部的成员机和用户全部应用。这通常会导致很多问题，比如，很多不应该使用策略的计算机必须一一进行排除。
强烈推荐将您可能需要实施组策略的用户移至一个单独的OU中，将可能需要实施组策略的计算机移至另一个单独的OU中。并对上述两个OU按照组织机构进行单独的分组。这样，您可以对你的用户和计算机分别实施用户策略和计算机策略。
3.4.4; 发布的软件所处的共享目录的位置
使用组策略发布软件时，软件所在的共享目录，最好位于同一个域内的成员机上。并保证此机器开放共享、共享文件夹的访问权限饱含everyone 的读权限。域控制器的安全设置比成员机复杂的多，可能会导致无法共享目录。
在新建组策略>>选择安装包时，浏览安装包应该通过 computername.domainnamesharefolder的方式，在实际实施的过程中，这是最保险的方式（对比 IPsharefolder 和 computernamesharefolder 的方式）。
3.4.5; 不应删除或者替换已经发布的软件安装包

凡是发布在共享目录里的软件（尤其是MSI安装包）应该尽量予以保留，而不应该被替换，否则可能带来更新和配置上的问题。某些没有更新到最新版本的软件仍然会去旧的位置检索MSI安装包来进行配置，一旦那个位置的安装保不存在或者被不同版本的文件替换，将导致配置失败，无法使用。
3.4.6删除策略中的安装
删除策略里的安装包时，应选择 “允许用户继续使用软件，但禁止新的安装”，除非你确实要将软件从已经安装了的机器上卸载。
删除安装的时候，最好不要删除安装相关的安装包，这通常也会导致问题。有关此问题，请参见：3.4.5
3.4.7让OU使用已有的策略
几个OU可以共用一个策略，方法是在OU>>属性>>组策略>>添加里找到相应的策略链接上去
3.4.8为什么某些成员机需要重启2次以上才会应用组策略
这种情况主要发生在安装 windows xp 的机器上，windows xp 的本地策略中有一条策略是“启用快速登录优化”，此策略默认是启动状态，并且会影响组策略的了立即执行。
我们可以在组策略中设置计算机设置>>管理模板>>系统登录中将策略“计算机启动和登录时总是等待网络”启用，以禁用成员机的登录优化。
3.5; 常见错误
3.5.1; 产品的安装来源无法使用
安装失败，应用程序日志中记录了事件ID为108的错误日志，详细的日志信息：未能将改动应用于软件安装设置。无法应用软件更改。应该有详细的日志记录。; 错误是: 这个产品的安装来源无法使用。请验证来源是否存在，是否可以访问。
导致次错误的原因是成员机无法访问软件所在的共享目录。请参考3.3.4 节进行处理
3.5.2在同步前台策略刷新时，组策略框架应该调用扩展
安装失败，应用程序日志中记录了事件ID为108的错误日志，详细的日志信息：未能将改动应用于软件安装设置。软件安装策略应用被推迟到下一次登录，因为管理员为组策略启用了登录优化。; 错误是: 在同步前台策略刷新时，组策略框架应该调用扩展。
导致次错误的原因是winxp 默认启动了登录优化，请参考3.3.8 节进行处理。
4、如何使用组策略定义用户和计算机配置
本节假定您已经知道如何为域或者OU新建和添加策略，如何区分策略中的计算机配置和用户配置，而且目前你已经打开了组策略编辑器。
4.1 账户和密码策略设置
我们使用活动目录来管理用户和计算机，当然是为了实现我们的管理目的，比如构建一个安全的网络环境。账户和密码的安全也是其中一个重要的部分，通常，管理员可以定义本地计算机的账户和密码策略，但是，为每一台计算机定义相同的策略，无疑会浪费很多的时间。使用组策略，您可以轻松的定义整个活动目录用户的账号和密码策略。
4.1.1在组策略编辑器中的位置
计算机配置→Windows设置→安全设置→账户策略
4.1.2作用
可以设置成员机的帐号和密码策略
（1）密码复杂度
（2）密码长度最小值
（3）密码过期期限
（4）强制密码历史的个数—更改密码时，不能使用的过去使用过的密码的个数
4.2;用户IE设置
对于企业来说，定制用户的 IE 设置也是一件罗嗦但必要的事情。通常，我们可能会需要更改用户的IE安全设置，或者为用户设置代理服务器等等。使用组策略，可以完成大部分的配置工作。
4.2.1在组策略编辑器中的位置
用户配置>>Windows设置>>Internet Explorer 维护
4.2.2作用
可以对用户的IE选项进行设置
（1）浏览器用户界面：标题、徽标、工具栏
（2）连接：连接模式和代理服务器设置
（3）URL：主页、搜索页、收藏夹内容等
（4）安全：内容分级设置、区域设置、验证设置
（5）程序：设置电子邮件、日历、新闻组等使用的程序
（6）高级：企业设置、Internet设置
更详细的设置，请参看相关的帮助。
5、参考资源;
Windows 2000组策略介绍http://www.microsoft.com/china/windows2000/library/howitworks/management/grouppolicyintro.asp
组策略设计必备知识概要http://www.microsoft.com/china/technet/prodtechnol/windows2000serv/plan/gpdesout.asp