1、物流企业网络维护与管理物流企业网络维护与管理湖南现代物流职业技术学院湖南现代物流职业技术学院物流网络维护与网络维护与管理知识识点 了解组策略的基本操作 了解组策略编辑器及组策略基本功能能力点 熟练运用组策略来实现域模式下多计算机软件分发任务 熟练使用组策略对系统进行安全加固的方法一、组组策略概概述所谓策略(Policy),是Windows中的一种自动配置桌面设置的机制。所谓组策略(Group Policy),顾名思义,就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在,可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置,包括桌面配置和安全配置。譬如,可以为特定用户或用
2、户组定制可用的程序、桌面上的内容,以及“开始”菜单选项等,也可以在整个计算机范围内创建特殊的桌面配置。简而言之,组策略是Windows中的一套系统更改和配置管理工具的集合。简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。二、组组策略编辑编辑器及组组策略基本功能 单击选择【开始】【运行】命令,在【运行】对话框的【打开】栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动windows2003组策略编辑器。(注:这个“组策略”程序位于“C:WINNTSYSTEM32”中,
3、文件名为“gpedit.msc”。)图6-1二、组组策略编辑编辑器及组组策略基本功能在打开的组策略窗口中(如组策略图所示),可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。另外,您或许已经注意到,左侧窗格中的【本地计算机】策略是由【计算机配置】和【用户配置】两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有【软件设置】、【Windows设置】等。那么在不同子键下进行相同项目的设置有何区别呢?这里的【计算机配置】是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而【用户配置】则是对当前用户的系统配置进行设
4、置的,它仅对当前用户起作用。例如,二者都提供了“停用自动播放”功能的设置,如果是在【计算机配置】中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在【用户配置】中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。二、组组策略编辑编辑器及组组策略基本功能组策略功能具有强大的功能,一般常用组策略来实现软件分发、IE维护、软件限制、脱机文件、安全设置、漫游配置文件、文件夹重定向、基于注册表的设置、计算机和用户脚本等。接下来重点以组策略实现软件分发和组策略实现软件限制以包安全为例讲述组策略的具体应用。三、组组策略的管理和应应用1、组策略实现软件
5、分发在域模式下,通过组策略来实现软件分发非常方便快捷,在开始菜单里选择【程序】【管理工具】【Active Directory用户和计算机】,打开【Active Directory用户和计算机】。图6-2三、组组策略的管理和应应用可在此选择整个域或者某组织单元,右击选择【属性】,在【组策略】页中,点【新建】组策略,命名为“软件分发”。图6-3三、组组策略的管理和应应用 然后点“编辑”,即打开“组策略编辑器”。图6-4三、组组策略的管理和应应用在组策略编辑器的计算机配置里,点【软件设置】前“+”号展开,选择【软件安装】后在右边空白处右击,如图6-5所示,在弹出菜单里选择【新建】【程序包】。图6-5
6、三、组组策略的管理和应应用点开“程序包”后会出来让你选择程序包位置的窗口,如图6-6所示,程序包文件是MSI后缀的文件,MSI文件是Windows Installer的数据包,它实际上是一个数据库,包含安装一种产品所需要的信息和在很多安装情形下安装(和卸载)程序所需的指令和数据。可以应用工具自己创建自己的MSI程序包,创建MSI程序包的工具一般在系统安装盘里有。图6-6三、组组策略的管理和应应用假如要安装Windows2003自带的支持工具包文件,这个安装包文件必须事先放在服务器的某个目录下并共享且其他机器有相应的权限(要是其他可执行文件须先做成MSI格式的安装包才可以分发)。选择后要分发的安
7、装包后,让选择部署方法:图6-7三、组组策略的管理和应应用选择“已指派”,若选“高级”即打开一个新的属性页可进行其他高级选项,如下图所示:图6-8三、组组策略的管理和应应用这样就完成了软件分发。这里“指派”为强制安装,如果希望用户决定是否安装应用程序则可以利用发布的方式,在“用户配置”里设置,操作步骤同上,只是在选择部署类型的时候选择已发布。还可以在完成后用鼠标右击选择“指派”或“发行”来进行切换。图6-9三、组组策略的管理和应应用修改后组策略对象后,如果是在【计算机配置】里【指派】给计算机,客户机执行策略刷新命令gpupdate后重启时安装,所有用户在客户机上都可使用该软件;如果是在【用户配
8、置】里【指派】或者【发布】给用户,用户在客户机执行策略刷新命令gpupdate后生效,“发布”的可以在【控制面板】【添加/删除程序】【添加程序】中选择安装,“指派”的软件则注销或重启后重新登录后,程序在【开始】菜单中,用户第一次使用该软件时安装。图6-10三、组组策略的管理和应应用2、利用组策略实现软件限制利用组策略可以通过软件限制,来实现对不明程序和恶意软件的限制以起到安全保护作用。基本配置方法如下:首先,针对全域或者某组织单元,建立一个软件限制安全组策略方法和前面软件分发策略一样。在组策略编辑器里选中“软件限制策略”里的“其他规则”:图6-11三、组组策略的管理和应应用在右边空白处可以点鼠
9、标右键,可以创建新的规则。要创建规则首先需要学会系统通配符、环境变量的含义,以及软件限制策略规则的优先级。如:通配符:“?”表示任意单个字符;“*”表示任意多个字符;“*”或“*?”表示零个或多个含有反斜杠的字符,即包含子文件夹。常见的环境变量:环境变量用两个“%”做标记,假设系统安装在C:Windows目录,那么“%USERPROFILE%”表示“C:Documents and Settings当前用户名”;“%ALLUSERSPROFILE%”表示“C:Documents and SettingsAll Users”;“%APPDATA%”表示“C:Documents and Settin
10、gs当前用户名Application Data”;“%ALLAPPDATA%”表示“C:Documents and SettingsAll UsersApplication Data”;“%SYSTEMDRIVE%”表示“C:”;“%HOMEDRIVE%”表示“C:”;“%SYSTEMROOT%”表示“C:WINDOWS”;“%WINDIR%”表示“C:WINDOWS”;“%TEMP%”和“%TMP%”表示“C:Documents and Settings当前用户名Local SettingsTemp”;“%ProgramFiles%”表示“C:Program Files”;“%CommonProgramFiles%”表示“C:Program FilesCommon Files”。
