组策略的作用
方便管理AD中用户和计算机的工作环境
用户桌面
计算机启动、关机、和用户登录、注销时所执行的脚本
软件分发
安全设置
对域设置的组策略影响整个域,对OU设置的组策略影响本OU下的所有用户
降低布置用户和计算机环境的总费用(设置一次,所有计算机和用户都执行,减少用户的错误配置)
执行公司使用计算机的规范(桌面环境,安全策略)
组策略适用于win2000以上的操作系统
组策略的结构
组策略的具体设置数据保存在GPO中
默认GPO(组策略对象):
默认域策略(影响域中所有的用户和计算机)
默认域控制器策略(影响与控制器中的所有用户和计算机)
GPO所连接的对象
SDOU(链接对象):站点、域和组织单位
GPO控制
用户和计算机
注意:组策略只能控制活动目录中的用户和计算机
站点的概念
活动目录的站点是从物理上抽象的概念
由一个或者几个通过高速链路链接在一起的IP子网组成
站点和域的关系
站点映射网络的物理拓扑结构,域映射网络的逻辑拓扑结构
一个站点可以有多个域
一个域可以有多个站点
站点的主要作用
优化复制
使用户能过使用可靠、高速的连接登录到域控制器上
主要:实现逻辑上的地理位置的划分
GPC和GPT
GPC(组策略容器):包含GPO属性和版本信息的活动目录对象
GPT(组策略模板):在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构
计算机配置和用户配置
计算机配置(只对容器中的计算机生效)
策略
软件设置
windows设置
管理模板
首选项
windows设置
控制面板设置
进入域策略:开始-程序-管理工具-策略管理器-林-域-策略对象-右键默认域策略-编辑
用户配置(只对容器中的用户生效)
策略
软件设置
windows设置
管理模板
首选项
windows设置
控制面板设置
组策略的应用规则
继承(默认):下层容器会继承上层容器的GPD
阻止继承:右键子容器可以选择阻止继承
累加:容器的多个组策略不冲突,最终为所有策略;若冲突,为后设置的策略
应用顺序:LSDOU,本地-站点-应用域-OU-父OU-按从大到小的优先级
强制生效:使下级强制继承(阻止继承无效)
筛选:阻止GPO应用到某个特定的计算机(GPO-委派-高级-权限设置)
软件分发
类型:
分发软件
修复软件
删除软件
升级软件
分发软件的步骤:
获取一个.msi的安装包
将软件安装文件放到一个 软件分发点
创建或者修改GPO
分配和发布的区别:
分配:分配到用户或者计算机(强制)
发布:发布给用户
方法:GPO-软件设置-软件安装-新建-数据包
修复软件:
在服务器上修复该软件的源文件
重新部署一次
删除软件:
下一次用户和计算机登录或者启动,软件会被强制删除
用户和计算机仍可继续执行使用软件,但是不允许重新安装
升级软件:
强制升级:强制用户将当前软件升级到新版本
可选升级:允许用户同时使用应应用程序的两个版本