一、 我的文檔重定向及GPO沖突處理:“財務部”及子單位“資產管理”的我的文檔重定向B位置,域中其他所有用戶的我的文檔重定向A位置
1. 本例實現的GPO鏈接示意圖如下:“我的文檔重定向A”鏈接到“域”,其下所有容器、組織單位都將繼承這個GPO,這個時候把“我的文檔重定向B”鏈接到“財務部”,這樣:“財務部”繼承“我的文檔重定向A”,和自身鏈接的GPO“我的文檔重定向B”之間產生了沖突,一個是要把我的文檔重定向A,一個重定向B,此時應用子單位的GPO,即“財務部”自身鏈接的GPO“我的文檔重定向B”為最終策略結果。
【注意】若是兩個有沖突的GPO鏈接到一個對象上又是怎么應用的呢?比如“我的文檔重定向A”鏈接到“辦公室”,則它有一個順序號為1,然后再“我的文檔重定向B”也鏈接到“辦公室”,它的順序號就為2,這樣看上去也產生了沖突,其實一個單位的多個GPO沖突時,數字越小優(yōu)先級越大,即“我的文檔重定向A” 順序號為1的為最終策略結果,當然也可以調整鏈接順序。如下圖:
2. 設置一個Authenticated Users(已驗證用戶組)完全共享文件夾“我的文檔重定向A”和“我的文檔重定向B”(需要在共享和安全中都對Authenticated Users設置完全控制)。
3. 新建GPO:我的文檔重定向A,并編輯它。
下圖:“目標”的“設置”中使用“基本-將每個人的文件夾重定向到同一個位置”,在“目標文件夾位置”下設置“在根目錄路徑下為每一用戶創(chuàng)建一個文件夾”,根路徑指定UNC路徑:\\Dc\我的文檔重定向A。
對設置選項卡“策略刪除”設為“刪除策略時將文件夾移回本地用戶配置文件位置”。
4. 新建GPO:我的文檔重定向B,向上例樣編輯它。
5. 對域鏈接GPO“我的文檔重定向A”。
6. 對組織單位“財務部”鏈接GPO“我的文檔重定向B”。
7. 分別使用域中及多個Ou中的用戶登陸域后,生成的用戶重定向獨立文件夾如下:
其中l(wèi)eo、Juo是“財務部”及其子單位“資產管理”中用戶,生成在“我的文檔重定向B”中,而其他位置的用戶我的文檔都生成在“我的文檔重定向B”中。
二、 設置所有域用戶的IE瀏覽器標題為:MCSE學習測試,主頁為:www.mcse.com
1. 實現這個目的的GPO鏈接如下:
2. 新建GPO:設置IE主頁,并編輯它。
3. 在組策略編輯器中:用戶配置→Windows設置→Internet Explorer維護→瀏覽器用戶界面,在右側雙擊“瀏覽器標題”,在彈出的對話框中如下設置,并輸入需要的文字(如:MCSE學習測試),然后確定。
4. 雙擊URL→重要URL,在彈出的對話框中如下設置,并輸入需要的主頁地址(如:http://www.mcse.com),然后確定,再關閉組策略編輯器。
5. 對域鏈接GPO“設置IE主頁”。
6. 在域網絡內用一臺電腦測試一下,打開它的IE瀏覽器,其標題和主頁已經更改。(向這樣的例子我們應舉一反三)。
三、 域中除域控制器、財務部和其下子單位外,對所有域用戶分發(fā)軟件。
1. 實現本目的的GPO鏈接如下圖:
這上面的GPO鏈接并沒有錯。那為什么要實現這個功能,前面鏈接的GPO又都要鏈接到財務部呢?這是因為阻止繼承。因為不用向財務部和其下子單位分發(fā)軟件,所以要阻止財務部繼承來自域的分發(fā)軟件GPO,但阻止繼承會阻止所有非強制的GPO繼承,一些需要財務部繼承的GPO也被阻止,因此這里需要為那些GPO專門建立一個鏈接。這也是一個GPO可以鏈接多個對象的一個實例。(那為什么不直接把分發(fā)軟件GPO,鏈接到辦公室和開發(fā)部這兩個OU上呢?這是因為域中的用戶并不全在OU中,有可能在容器里(比如:Users)但GPO不能鏈接到容器,不過若把GPO鏈接到域,容器會繼承域的GPO)
2. 組策略只能分發(fā)*.msi類型軟件,如果非此類型文件,可到網上下載一個msi生成工具,對其封閉成MSI文件再分發(fā)(msi生成工具下載地址:http://dl.52zy.com/green/Advanced Installer.rar)。對域中分發(fā)軟件,軟件必須放在網絡共享的文件夾中,在編輯分發(fā)軟件的GPO時,要引用到這個共享文件夾的UNC路徑。(下圖中“軟件安裝”為只讀共享,其所在計算機名為DC,所以它的UNC路徑為:\\dc\軟件安裝)
3. 新建GPO:軟件分發(fā),并編輯它。
4. 進行“軟件分發(fā)”的組策略編輯器后,可以看到計算機配置和用戶配置中都有一個“軟件設置→軟件安裝”都可以用來分發(fā)軟件,它們的區(qū)別如下:
計算機配置中軟件設置→軟件安裝:針對計算機帳戶設置的GPO,無論任何用戶啟動這臺計算機都將應用這個GPO,它在啟動計算機時執(zhí)行,這意味著要讓這些設置生效需重新啟動計算機。
用戶配置中軟件設置→軟件安裝:針對用戶帳戶設置的GPO,無論用戶在任何計算機上登陸都將應用這個GPO,它在用戶登陸時執(zhí)行,這意味著用戶只需注銷后再重新登陸就可生效。
5. 在本例中適合對用戶分發(fā)軟件,在用戶配置→軟件設置→軟件安裝的右側,右擊選新建→程序包。
6. 在彈出對話框中,網上鄰居上找到共享的“軟件安裝”文件夾中需分發(fā)的msi文件,然后單擊打開。
7. 在彈出對話框中選“已指派”,然后單擊確定。
發(fā)布策略:僅適用于用戶策略,不能為計算機發(fā)布應用程序,要安裝發(fā)布的應用程序,用戶可以使用控制面板中的“添加或刪除程序”,它包括用戶可安裝的所有已發(fā)布應用程序的列表。或者,如果管理員選擇了“通過文件擴展名激活自動安裝該應用程序”功能,則用戶可以打開一個與發(fā)布的應用程序關聯的文檔文件。例如,雙擊一個 .xls 文件就會觸發(fā) Microsoft Excel 安裝(如果尚未安裝的話)。
指派策略:適用于用戶和計算機,指派策略部署的軟件會自動安裝。
高級策略:可以手動選擇發(fā)布和指派中的一些選項,相當于把上面兩者的一些功能綜合在一起。
8. 對域鏈接這個GPO“軟件分發(fā)”。
9. 對財務部阻止繼承。
10. 重新鏈接一些需要繼承的GPO。
11. 排除對域控制器(計算機名:DC)指派軟件安裝。
單擊添加按鈕后,把對象類型計算機勾選進去。
查找到域控制器計算機名:DC,選擇它并一直確定。
12. 添加計算機到安全篩選后,單擊“委派”選項卡。
再單擊高級按鈕。
單擊高級按鈕,選擇DC$,把它的權限“應用組策略”設為“拒絕”,一路確定下來。
測試域中非財務部用戶登陸,軟件已經安裝是一條魚的圖標。
對域控制器測試并沒安裝這個指派的軟件,功能實現成功。
四、 組策略刷新命令
“gpupdate”用于刷新本地組策略和Active Directory中存儲的組策略設置(包括安全設置)的命令行工具。在默認情況下,工作站或服務器上的安全設置每90分鐘刷新一次,域控制器每5分鐘刷新一次。若要立即刷新就要使用此命令。
1. 在CMD命令窗口輸入:gpupdate /? 可查詢它的語法和功能參數。
2. 常用的參數:
Gpupdate /force 重新運用所有策略設置。在默認情況下,只有已經改變了的策略設置被應用。
Gpupdate /logoff 在組策略設置被刷新后引起注銷。
Gpupdate /boot 在組策略設置被刷新后引起重新啟動。
五、 策略結果集(RsoP:Resultant Set of Policy)
由于可能對用戶和計算機重疊應用多個策略設置,所以組策略登錄時會產生一個策略結果集,作為最終的策略來執(zhí)行。
1. gpresult命令顯示用戶或計算機的組策略設置的策略的結果集數據。
2. 在CMD命令窗口輸入:gpresult /? 可查詢它的語法和功能參數。
3. 常用的參數:
gpresult /z>c:\rep.txt 指定顯示超詳細關于“組策略”的所有可用信息并重定向寫入C盤下的rep.txt文件中
4. 組策略管理工具中的“組策略結果”: 它和 gpresult功能相同,同時提供圖形化的界面,更加方便日常管理。
例:使用“組策略結果”顯示在域控制器(DC)上系統(tǒng)管理員(administrator)的最終組策略結果,并把結果保存為網頁文件。
因組策略結果就運行在DC上,所以選“這臺計算機”,若要生成別的計算機的策略結果集,可選下面的選項。
單擊右側窗口的”全部顯示”
對顯示的結果右鍵單擊,選擇“保存報告”可造成HTML類型報告。
六、 使用組策略建模
組策略的部署是要謹慎且小心翼翼的,一旦出了問題,對域中電腦的工作影響是很嚴重的。因此有必要在部署前進行模擬部署,通過其生產的報告了解部署后的情況,組策略管理工具中提供的“組策略建模”就提供了這個功能。它有一個必要條件,林中必須有一臺Windows Server 2003域控制器,這是因為模擬過程只能由Winodows Server 2003域控制器(或更新的OS)提供的服務完成。
例:Demo本是OU辦公室內的用戶,因工作需要Demo將要調到財務部,現要模擬Demo移動到OU財務部后它的策略對象的最終結果。
1、Demo現在是辦公室的成員。
2、右擊“組策略建模”選“組策略建模向導”。
3、一路下一步。
4、用戶信息,選“用戶”,然后單擊瀏覽,添加用戶Demo。
5、下一步。
6、選擇目標容器為:財務部。
7、下一步。
8、生成了在財務部中所應用的GPO集,通過下面的內容可知Demo移動到財務部后的策略結果。
本文出自 “堅強的技術交流blog” 博客,轉載請與作者聯系!
文章很好,用幾個例子闡述了組策略的應用中常用的幾個功能,非常具體、詳細,很實戰(zhàn)。