使用组策略管理用户环境下 用户组策略
1. 本例实现的GPO链接示意图如下:“我的文档重定向A”链接到“域”,其下所有容器、组织单位都将继承这个GPO,这个时候把“我的文档重定向B”链接到“财务部”,这样:“财务部”继承“我的文档重定向A”,和自身链接的GPO“我的文档重定向B”之间产生了冲突,一个是要把我的文档重定向A,一个重定向B,此时应用子单位的GPO,即“财务部”自身链接的GPO“我的文档重定向B”为最终策略结果。
【注意】若是两个有冲突的GPO链接到一个对象上又是怎么应用的呢?比如“我的文档重定向A”链接到“办公室”,则它有一个顺序号为1,然后再“我的文档重定向B”也链接到“办公室”,它的顺序号就为2,这样看上去也产生了冲突,其实一个单位的多个GPO冲突时,数字越小优先级越大,即“我的文档重定向A” 顺序号为1的为最终策略结果,当然也可以调整链接顺序。如下图:
2. 设置一个Authenticated Users(已验证用户组)完全共享文件夹“我的文档重定向A”和“我的文档重定向B”(需要在共享和安全中都对Authenticated Users设置完全控制)。
3. 新建GPO:我的文档重定向A,并编辑它。
下图:“目标”的“设置”中使用“基本-将每个人的文件夹重定向到同一个位置”,在“目标文件夹位置”下设置“在根目录路径下为每一用户创建一个文件夹”,根路径指定UNC路径:\Dc我的文档重定向A。
对设置选项卡“策略删除”设为“删除策略时将文件夹移回本地用户配置文件位置”。
4. 新建GPO:我的文档重定向B,向上例样编辑它。
5. 对域链接GPO“我的文档重定向A”。
6. 对组织单位“财务部”链接GPO“我的文档重定向B”。
7. 分别使用域中及多个Ou中的用户登陆域后,生成的用户重定向独立文件夹如下:
其中leo、Juo是“财务部”及其子单位“资产管理”中用户,生成在“我的文档重定向B”中,而其他位置的用户我的文档都生成在“我的文档重定向B”中。
二、 设置所有域用户的IE浏览器标题为:MCSE学习测试,主页为:www.mcse.com
1. 实现这个目的的GPO链接如下:
2. 新建GPO:设置IE主页,并编辑它。
3. 在组策略编辑器中:用户配置→Windows设置→Internet Explorer维护→浏览器用户界面,在右侧双击“浏览器标题”,在弹出的对话框中如下设置,并输入需要的文字(如:MCSE学习测试),然后确定。
4. 双击URL→重要URL,在弹出的对话框中如下设置,并输入需要的主页地址(如:http://www.mcse.com),然后确定,再关闭组策略编辑器。
5. 对域链接GPO“设置IE主页”。
6. 在域网络内用一台电脑测试一下,打开它的IE浏览器,其标题和主页已经更改。(向这样的例子我们应举一反三)。
三、 域中除域控制器、财务部和其下子单位外,对所有域用户分发软件。
1. 实现本目的的GPO链接如下图:
这上面的GPO链接并没有错。那为什么要实现这个功能,前面链接的GPO又都要链接到财务部呢?这是因为阻止继承。因为不用向财务部和其下子单位分发软件,所以要阻止财务部继承来自域的分发软件GPO,但阻止继承会阻止所有非强制的GPO继承,一些需要财务部继承的GPO也被阻止,因此这里需要为那些GPO专门建立一个链接。这也是一个GPO可以链接多个对象的一个实例。(那为什么不直接把分发软件GPO,链接到办公室和开发部这两个OU上呢?这是因为域中的用户并不全在OU中,有可能在容器里(比如:Users)但GPO不能链接到容器,不过若把GPO链接到域,容器会继承域的GPO)
2. 组策略只能分发*.msi类型软件,如果非此类型文件,可到网上下载一个msi生成工具,对其封闭成MSI文件再分发(msi生成工具下载地址:http://dl.52zy.com/green/Advanced Installer.rar)。对域中分发软件,软件必须放在网络共享的文件夹中,在编辑分发软件的GPO时,要引用到这个共享文件夹的UNC路径。(下图中“软件安装”为只读共享,其所在计算机名为DC,所以它的UNC路径为:\dc软件安装)
3. 新建GPO:软件分发,并编辑它。
4. 进行“软件分发”的组策略编辑器后,可以看到计算机配置和用户配置中都有一个“软件设置→软件安装”都可以用来分发软件,它们的区别如下:
计算机配置中软件设置→软件安装:针对计算机帐户设置的GPO,无论任何用户启动这台计算机都将应用这个GPO,它在启动计算机时执行,这意味着要让这些设置生效需重新启动计算机。
用户配置中软件设置→软件安装:针对用户帐户设置的GPO,无论用户在任何计算机上登陆都将应用这个GPO,它在用户登陆时执行,这意味着用户只需注销后再重新登陆就可生效。
5. 在本例中适合对用户分发软件,在用户配置→软件设置→软件安装的右侧,右击选新建→程序包。
6. 在弹出对话框中,网上邻居上找到共享的“软件安装”文件夹中需分发的msi文件,然后单击打开。
7. 在弹出对话框中选“已指派”,然后单击确定。
发布策略:仅适用于用户策略,不能为计算机发布应用程序,要安装发布的应用程序,用户可以使用控制面板中的“添加或删除程序”,它包括用户可安装的所有已发布应用程序的列表。或者,如果管理员选择了“通过文件扩展名激活自动安装该应用程序”功能,则用户可以打开一个与发布的应用程序关联的文档文件。例如,双击一个 .xls 文件就会触发 Microsoft Excel 安装(如果尚未安装的话)。
指派策略:适用于用户和计算机,指派策略部署的软件会自动安装。
高级策略:可以手动选择发布和指派中的一些选项,相当于把上面两者的一些功能综合在一起。
8. 对域链接这个GPO“软件分发”。
9. 对财务部阻止继承。
10. 重新链接一些需要继承的GPO。
11. 排除对域控制器(计算机名:DC)指派软件安装。
单击添加按钮后,把对象类型计算机勾选进去。
查找到域控制器计算机名:DC,选择它并一直确定。
12. 添加计算机到安全筛选后,单击“委派”选项卡。
再单击高级按钮。
单击高级按钮,选择DC$,把它的权限“应用组策略”设为“拒绝”,一路确定下来。
测试域中非财务部用户登陆,软件已经安装是一条鱼的图标。
对域控制器测试并没安装这个指派的软件,功能实现成功。
四、 组策略刷新命令
“gpupdate”用于刷新本地组策略和Active Directory中存储的组策略设置(包括安全设置)的命令行工具。在默认情况下,工作站或服务器上的安全设置每90分钟刷新一次,域控制器每5分钟刷新一次。若要立即刷新就要使用此命令。
1. 在CMD命令窗口输入:gpupdate /? 可查询它的语法和功能参数。
2. 常用的参数:
Gpupdate /force 重新运用所有策略设置。在默认情况下,只有已经改变了的策略设置被应用。
Gpupdate /logoff 在组策略设置被刷新后引起注销。
Gpupdate /boot 在组策略设置被刷新后引起重新启动。
五、 策略结果集(RsoP:Resultant Set of Policy)
由于可能对用户和计算机重叠应用多个策略设置,所以组策略登录时会产生一个策略结果集,作为最终的策略来执行。
1. gpresult命令显示用户或计算机的组策略设置的策略的结果集数据。
2. 在CMD命令窗口输入:gpresult /? 可查询它的语法和功能参数。
3. 常用的参数:
gpresult /z>c:rep.txt 指定显示超详细关于“组策略”的所有可用信息并重定向写入C盘下的rep.txt文件中
4. 组策略管理工具中的“组策略结果”: 它和 gpresult功能相同,同时提供图形化的界面,更加方便日常管理。
例:使用“组策略结果”显示在域控制器(DC)上系统管理员(administrator)的最终组策略结果,并把结果保存为网页文件。
因组策略结果就运行在DC上,所以选“这台计算机”,若要生成别的计算机的策略结果集,可选下面的选项。
单击右侧窗口的”全部显示”
对显示的结果右键单击,选择“保存报告”可造成HTML类型报告。
六、 使用组策略建模
组策略的部署是要谨慎且小心翼翼的,一旦出了问题,对域中电脑的工作影响是很严重的。因此有必要在部署前进行模拟部署,通过其生产的报告了解部署后的情况,组策略管理工具中提供的“组策略建模”就提供了这个功能。它有一个必要条件,林中必须有一台Windows Server 2003域控制器,这是因为模拟过程只能由Winodows Server 2003域控制器(或更新的OS)提供的服务完成。
例:Demo本是OU办公室内的用户,因工作需要Demo将要调到财务部,现要模拟Demo移动到OU财务部后它的策略对象的最终结果。
1、Demo现在是办公室的成员。
2、右击“组策略建模”选“组策略建模向导”。
3、一路下一步。
4、用户信息,选“用户”,然后单击浏览,添加用户Demo。
5、下一步。
6、选择目标容器为:财务部。
7、下一步。
8、生成了在财务部中所应用的GPO集,通过下面的内容可知Demo移动到财务部后的策略结果。
本文出自 “坚强的技术交流blog” 博客,转载请与作者联系!
文章很好,用几个例子阐述了组策略的应用中常用的几个功能,非常具体、详细,很实战。
更多阅读
环境会计问题探讨 网络环境下会计信息系统安全性问题
在我看来,会计信息系统是指多种会计信息形成的有序结合、运行的系统。通过会计信息系统,可以对会计信息进行收集与处理,完成会计核算任务,同时,相关信息使用人员也可用此做出正确的决策。随着科技的发展和计算机的普及,传统的通
数字媒体广告环境分析 数字媒体环境下广告公司的应对策略
在网络技术和通信技术突飞猛进的现实环境下,信息的发布渠道、沟通方式、消费者的媒体接触习惯已发生了巨大的改变,这些因素推动当前的媒体环境进入一个数字媒体环境的新时代。数字媒体是以数字方式存在和数字方式传播的媒体
风险应对策略包括 数字媒体环境下广告公司的应对策略
在网络技术和通信技术突飞猛进的现实环境下,信息的发布渠道、沟通方式、消费者的媒体接触习惯已发生了巨大的改变,这些因素推动当前的媒体环境进入一个数字媒体环境的新时代。数字媒体是以数字方式存在和数字方式传播的媒体
田森超市供应商供应链 供应链环境下的服装供应商库存管理
一、传统库存控制的弊端与供应商管理库存的提出 供应链管理(Supply Chain Management,SCM)是一种集成的管理方式,它从全局的角度对供应链上的物流、信息流,以及资金流进行控制和调度。而库存管理则是供应链管理的重要组成部分
新经济知识 浅析新经济环境下的企业知识管理模式
内容摘要:新经济环境下,知识管理作为一种全新的经营管理模式,遍及整个经济领域,它是企业保持持续竞争优势的关键所在。本文分析了知识管理的特征以及国内外对知识管理模式的最新研究成果,对我国企业选择知识管理模式起到借鉴与指导作