Windows Server 2008组策略管理与配置
组策略 从入门到精通 (一) 组策略的还原与备份和汇入
AD活动目录的应用已经十分广泛了,组策略管理是我们为企业规划重要的一部分,掌握好组策略的应用会实现很广泛的应用。本次推出此系列,介绍一系列的组策略应用,并且简单易懂,文章短小易懂易操作,真正简单实现从入门到精通。
组策略的备份
搭建域环境,从管理工具中找到组策略管理器,接下来的一段时间里,我们要与这个管理程序结下不解之缘。
展开 林contoso.com – 域 – 组策略对象, 本章节所有内容微软这个容器来做。
我们可以右键任意一条组策略进行备份,操作相当容易,右键组策略,选择备份,选择备份路径和相关的描述即可。
同时我们也可以选择多条组策略,右键其中一条进行备份。效果同上面是一样的。同样的,我们可以直接选择组策略对象,右键选择备份,将所有的组策略进行备份。
组策略的还原
组策略的还原
右键组策略对象,选择管理备份。
选择我们需要的策略,在还原之前我们可以查看设置。
这里会出现关于所选择组策略的一个报表,确认无误后我们可以进行还原。在进行还原的动作中我们只能够每次还原一个。
同样,我们可以右键一条GPO,如果备份中有修改这条策略的模板,那么可以通过这里还原到以前的状态。
同样,我们可以右键一条GPO,如果备份中有修改这条策略的模板,那么可以通过这里还原到以前的状态。
在还原GPO的时候是一个向导的模式,一样的我们可以在其中查看对于策略的报表。
组策略的汇入
组策略的汇入
当我们需要做组策略的替代工作,可以直接使用汇入功能。
因为在汇入的同时会将原有的策略删除,一般选择新建策略来完成导入。操作也十分容易,直接下一步就可以导入成功。
组策略 从入门到精通(二) 如何区别跨越WAN网的计算机对组策略的套用
如果客户机与DC中间跨越了网络,造成传输速率慢的情况,我们希望通过策略中的一些元素,达成对这些计算机的另类处理。但我们并不知道这些计算机哪些与我们DC之间属于低速连接,哪些属于高速连接,那么我们要如何通过组策略解决。
打开组策略管理器,编辑一条组策略,当然在做完设置之后,我们需要给这些计算机做一个OU,做好策略的链接就可以生效了。
打开组策略管理器——计算机配置——管理模板——系统——组策略 (组策略在最后一项中)
右边的界面我们可以看到有很多的设置,随便选取一个进行分析。 设备策略处理。
启用之后我们可以看到三条选项。
1 允许通过慢速网络连接进行处理
当我们不勾选,我们在这里做的组策略对于慢速网络连接的计算机是不生效的。
1 允许通过慢速网络连接进行处理
当我们不勾选,我们在这里做的组策略对于慢速网络连接的计算机是不生效的。
2 周期性后台处理不要应用
默认情况下客户机90分钟会更新一次组策略,DC本身也会5分钟更新一次,当勾选此项,则在时间到的情况下不会去更新。适用于慢速连接不用常常连接到DC上去找策略更新。
默认情况下客户机90分钟会更新一次组策略,DC本身也会5分钟更新一次,当勾选此项,则在时间到的情况下不会去更新。适用于慢速连接不用常常连接到DC上去找策略更新。
3 即使尚未更改组策略对象也进行处理
也就是说,如果不勾选此项,当组策略没有进行更新的时候,计算机是不会进行寻找策略的。
也就是说,如果不勾选此项,当组策略没有进行更新的时候,计算机是不会进行寻找策略的。
在右边的选项中还有很多相关的选项。
基本已经包含我们常用的策略,当我们需要设置让跨越WAN网的计算机,或者说是慢速连接的计算机不要应用设定的组策略的时候,可以在其中进行操作。
那么,什么样的速度叫做慢速连接呢? 其中在选项卡中我们可以进行设置。打开组策略慢速链接检测。
启用之后,看到默认连接速度小于500KB的计算机会被视作慢速连接,会应用到上述的策略中。我们也可以进行修改。
这样我们就实现了让与DC跨越WAN的计算机效率更高,不用费力连接域控进行一系列的操作了。
组策略 从入门到精通 (三) 关于站点之间策略的相互复制和相关设置
在站点与站点之间, 组策略是相互复制的,其中的原理是如何的,本章将做一些介绍并且讲解关于相互复制其中的一些操作。
打开域控制器的 c:\Windows\SYSVOL\sysvol\contoso.com\Policies文件。
我这里只有一台域控制器,不能以图片的模式展现出各个观点,多做讲解作为补充。这个目录下有很多文件夹,这些就是本机的GPO,如果在多个站点下,我们在不同的域控制器上的打开本地的这个文件夹,可以看到,其中的内容是相同的。也就是说,通过定期的复制,让每个域控制器的这个文件夹保持一致,达成了策略的复制,策略的统一性。
打开站点和服务管理。
我们可以在这里做新建站点的设置,因为我这里只有一台DC,没有相互复制,如果出现多台DC,那么可以在右边的窗口看到本台服务器是从哪台主机复制组策略的。并且我们可以右键这台主机,选择复制,就直接复制了组策略,不需要等待。
打开组策略管理,编辑一条组策略。在查看中,选择DC选项。
可以看到有三个选项。
可以看到,当我们进行组策略编辑,并且链接了以后,我们是写在那台主机上然后进行分发的。默认是PDC模拟操作主机,还可以选择管理单元使用的域控制器和使用任何可用的域控制器。
组策略 从入门到精通(四) 建立组策略模型进行测试
当我们使用活动目录一定时间,那么里面在不同的OU上做了不同的组策略,数量非常庞大,当我们需要将计算机或者用户移动的时候,这些容器上所有的GPO是否是我们想要在这个用户或者计算机上添加的,如果进行判断,这里使用组策略建模的功能进行对这些容器上的GPO进行测试,下面看一下是如何实现的。
打开组策略管理器,右键组策略建模,选择组策略建模向导。
下一步
在这里我们可以对要哪那台域控制上提取策略进行选择。
下一步之后,选择相应的计算机容器和用户容器,也就是选择我们将我们的用户或者计算机放入哪些OU中进行测试,默认情况下,如果用户所承受的组策略与计算机承受的组策略冲突,用户所应用的策略生效。
这里还可以对站点进行选择,并且可以模拟当慢速连接的时候组策略会继承哪些,关于慢速连接的计算机对组策略应用的设置方法在本系列的第二张有提到。
并且,进行对于用户或者计算机进行转移所属组的情况进行模拟,默认会不变,仍然将用户和计算机放在原有组中进行模拟,点击添加或者删除进行模拟测试。
在我们应用组策略的时候,往往会有特殊用户在这个组中并不受其限制,就是组策筛选器的应用,这里也可以模拟是否应用这些筛选器对这个用户或者计算机进行筛选。下一步之后就完成了所有的设置。
如上图,关于这些操作会产生出一个报告,这个报告不同我们的日志,简单易懂,记录的关于计算机配置,用户配置的各种具体信息,包括一些筛选器,密码策略等详细设置的说明,这对于我们的工作提高了安全性,避免一些误操作。
组策略 从入门到精通(五) 如何查看客户端或者本机策略套用结果
当我们做了众多的策略之后,会发现很难掌握每一个OU中,或者每一台计算机都套用了那些策略。或者是否这些策略真正的应用成功,大型企业中,我们不可能去客户端进行检查,那么如何来实现查看组策略结果的功能呢?今天会分享两个方法,第一个通过命令行的方式查询本地,第二通过组策略结果的功能进行查询。
第一,我们来介绍通过命令行的方式查询本地套用了哪些组策略。
首先打开CMD,键入gpresult 进行查询。
我们会用到/r /h两个参数,首先一起看一下关于/r会出现怎样的效果。
可以看到,在CMD模式下,已经产生了报表,关于我们当前计算机应用了哪些策略,在下面还会有当前用户所套用的组策略信息,除了这种方式,我们也可以通过/h 的参数生成一个报表。使用gpresult /h c:test.htm
进入C盘,打开这个报表。
这种报表我们就很长见了,在使用组策略建模的时候我们将见过他,详细并且简单明了。
除了通过命令行的方式,我们也可以通过组策略结果的功能查看关于客户端或者本机应用了哪些组策略。打开组策略管理器,右键组策略结果,新建向导。
下一步之后我们就可以选择要查询的计算机了。
还可以选择是哪一个用户登录的这台计算机。
上一章我们已经提到用户和计算机所套用的策略有时间会冲突,用户的优先生效。完成之后,同样的生成了一张报表,详细的描述了关于设定用户和设定计算机会套用那些组策略。
组策略 从入门到精通(六)组策略周期性的设置
默认情况下,域中的计算机会自动的去套用关于自己的组策略,那么这种时间之间的设定是如何来完成的。我们不但需要解决每隔一段时间计算机会自动寻找DC套用组策略,并且需要设定在DC下载策略的时候造成网络堵塞,那么又需要我们怎么设置。
首先我们可以通过 gpupdate /force 进行强制下载,刷新策略,关于gpupdate这条命令其实还有很多的选项。
除了/force最常用的应该是 /target: computer or user 更新下载关于计算机或者用户的策略。
其实关于组策略下载的问题在计算机上默认设置已经很周到,并且在开机的时候计算机也会去下载关于自己的组策略,用户登录的时候也会下载关于user的组策略,这里一起来看一下在组策略管理器中是如何设置的。
在组策略管理器中,编辑一条组策略打开组策略管理编辑器,在计算机配置中选择策略,管理模板,系统中的组策略,我们可以找到右边的计算机组策略刷新间隔和域控器组策略刷新间隔。
启用之后我们可以看到默认情况下有两个时间,90分钟和30分钟。也就是说每隔90分钟,域中的成员机会连接到DC上下载一次组策略,但域中会有很多计算机,并且同时连接DC上,造成一时刻的网络拥堵,这种情况下,我们又设置了30分钟的随机时间,也就是在90分钟加30分钟的时候会有随机的计算机连接到DC上下载组策略,避免网络拥堵。
而在域控制器上,默认情况下5分钟自动刷新一次组策略,在域控制器上的策略往往比较重要,跟安全性挂钩,所以一般希望更快的去接受到策略,并让其生效,在随机时间里是0分钟,因为DC的台数比较小,刷新间隔本来就很短所以没有必要设置随机刷新的时间。
这些就是关于组策略刷新周期的相关设定。
组策略 从入门到精通 (七) 组策略的继承
在组策略套用的过程中,有些制度性的策略需要大范围套用,只应应用于整个域中,在这些组策略的笼罩之下,有些OU中的用户又需要不套用任何上层下放的策略,当这些不想套用公共策略的用户阻止继承上层的策略,我们想让他强制生效,又怎么样设置?
在组策略管理器中,会有一条默认存在的组策略对象。而且可以看到,下层的每个OU中都包含这两个组策略。
这样就说明了,当我们为域做相应策略的时候,其下的OU以后随之应用。
并且我们也可以通过阻止继承完成对上层组策略的限制。
右键我们的OU,可以看到有一个阻止继承选项,当我们选中阻止继承,那么会拒绝所以上层所下发的组策略。
我们也可以右键一条组策略,选择强制。
当这条组策略强制生效后,会在组策略上显示出强制的符号,并且会强制下发给任何下层容器中,当强制生效与阻止继承相碰,上层设置了强制生效的策略还是会继承下去的。
以前我们通过执行IE程序来做可以让活动目录中的客户端进入系统后自动进入IE,但关掉之后会产生黑屏,需要按下Ctrl+Alt+Del来注销。如果当用户缺乏计算机知识,如果我们想让这种设置体现的更方便,需要当关掉IE之后自动进入注销界面,如何来实现。
要实现这种功能,需要一个小的脚本,在附件中,可以下载试用,下载之后不要双击,否则会打开IE关闭后关机。我们需要让客户端开机时刻套用这个脚本,所以需要在服务器上建立一个共享目录,让客户端开机的时候寻找并套用。
右键选择属性,将脚本所在的目录共享。然后找到他的网络路径 \\计算机名\目录\IE
然后我们打开组策略管理器,编辑一条组策略,选择用户界面的管理模板中的系统。
右边有一个自定义用户界面,选择它。
将我们的网络路径复制下来,填在其中,然后将我们的组策略绑定到我们需要生效这个策略的OU,设置就完成了。
这样我们就实现了使客户端进入系统自动进入IE,退出则注销。
strApDirrctory = "C:\Program Files\Internet Explorer\"
strApFileName = "iexplore.exe"
strApFileName = "iexplore.exe"
strComputer = "."
Set objService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2")
Set objService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2")
UserName = ""
Set objCol = objService.ExecQuery("SELECT * FROM Win32_ComputerSystem")
For Each obj in objCol
UserName = obj.UserName
Next
Set objCol = objService.ExecQuery("SELECT * FROM Win32_ComputerSystem")
For Each obj in objCol
UserName = obj.UserName
Next
Set objProcess = GetObject("winmgmts:\\" & strComputer & "\root\cimv2:Win32_Process")
errResult = objProcess.Create(strApDirrctory & strApFileName, strApDirrctory, null, intPosID)
Set colProcesses = objService.ExecNotificationQuery _
("SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process'")
("SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process'")
Do While True
Set objProcess = colProcesses.NextEvent
Set objProcess = colProcesses.NextEvent
Set objCol = objService.ExecQuery("SELECT * FROM Win32_Process WHERE Name='" & strApFileName & "'")
Count = 0
For Each obj in objCol
obj.GetOwner strNameOfUser, strUserDomain
If UserName = strUserDomain & "\" & strNameOfUser Then Count = Count + 1
Next
obj.GetOwner strNameOfUser, strUserDomain
If UserName = strUserDomain & "\" & strNameOfUser Then Count = Count + 1
Next
If Count = 0 Then Exit Do
Loop
Loop
Set objCol = objService.InstancesOf("Win32_OperatingSystem")
For Each obj In objCol
obj.Win32Shutdown 0, 0
Next
obj.Win32Shutdown 0, 0
Next
以上是脚本,保存后后缀改成VBS就可以用了。
组策略 从入门到精通(九)通过组策略限制IE功能
在上一篇博文中,我们已经能设定让客户端登陆以后就只有IE可以使用,关闭IE之后就会注销,那么在使用IE的同时,我们需要做一些设置,让IE的功能也得到规范,那么这些应该如何设定呢?
打开组策略管理器,编辑一条新的组策略。
在用户设置的管理模板中,有一个windows 组建选项,打开后可以看到IE的设置选项。
打开IE选项,看一下我们能对IE做什么。
选择IE之后已经可以看到右边显示了一些可以设置的选项,包括关闭“删除浏览历史记录”功能,关闭“删除表单”功能等。
展开之后,还可以看到关于IE一些有针对性的设置,有时候我们需要用户不能使用工具栏,设定用户的首页等,有时候需要用户只能用单一的页面,我们设置可以设定IE没有地址栏,只能用首页进行操作。
在一些网页中,可以安装一些控件来完成一些功能,包括视频,音频,我们也可以在这里进行设定,让用户不能下载这些控件来完成我们不想让完成的操作。
这样我们就可以完善用户只能用IE浏览器工作了。
组策略 从入门到精通(十)通过组策略进行软件分发和卸载
其实在前面windows server 2008的一些博文中,已经介绍了如何通过组策略进行软件的分发,在windows server 2003中有些无法完成的软件分发工作在windows server 2008中已经全部纠正了。http://zhengweiit.blog.51cto.com/1109863/291156
今天我们主要来探讨一下如何卸载这些软件,关于卸载的同时我们可以如何设置来满足我们的需求。
今天我们主要来探讨一下如何卸载这些软件,关于卸载的同时我们可以如何设置来满足我们的需求。
同样我们打开组策略管理器,编辑我们进行安装的那条组策略。
右键选择我们安装的软件,选择所有任务,我们可以看到两条选项。在删除的下方,我们可以看到重新部署应用程序,也就是说当大部分机器部署失败后,需要重新安装,我们可以直接选择重新安装而不需要多的操作了。
也可以点击删除进行删除的动作。
删除中也有两个选项可以让我们选择:
立即从用户和计算机中卸载和允许用户使用软件,但阻止新的安装,第二项表示现在拥有的用户仍然可以用,但是不能更新和重新下载,新的用户也不能下载了。
其实除了这些设置,我们还可以进行其他一些设置。右键软件安装选择属性,在高级中还有这样几个选项。
应用比较多的我们可以勾选第一项,当软件的使用者已经被降级,不再拥有使用权,也就是说这个用户名离开拥有权限的OU,则软件自动移除。
在下方我们还可以进行针对64位系统和32位系统的区分,如果我们不勾选第一项,则当分发的软件是32位的时候,64位的系统是不会去下载安装的。
这样我们就完成了利用组策略进行软件的分发和相关设置了。