我們先了解下組策略知識：1、組策略中包含兩部分：1 計(jì)算機(jī)配置：針對計(jì)算機(jī)的配置，只在計(jì)算機(jī)上生效。計(jì)算機(jī)啟動的時候應(yīng)用，在出現(xiàn)登錄界面前。 2 用戶配置：針對用戶的配置，只在所有用戶帳戶上

我們先了解下組策略知識：

1、組策略中包含兩部分：

1 計(jì)算機(jī)配置：針對計(jì)算機(jī)的配置，只在計(jì)算機(jī)上生效。計(jì)算機(jī)啟動的時候應(yīng)用，在出現(xiàn)登錄界面前。 2 用戶配置：針對用戶的配置，只在所有用戶帳戶上生效。用戶登錄后應(yīng)用。

2、根據(jù)應(yīng)用范圍將組策略分為三類：

1 域的組策略：設(shè)置對于整個域都生效。在“AD用戶和計(jì)算機(jī)”中，右擊域名-〉屬性-〉組策略。 2 OU的組策略：設(shè)置對于這個的OU 生效。在“AD用戶和計(jì)算機(jī)”中，右擊OU 名-〉屬性-〉組策略。 3 站點(diǎn)的組策略：設(shè)置對于這個站點(diǎn)生效。在“AD站點(diǎn)和服務(wù)”中，右擊站點(diǎn)名-〉屬性-〉組策略。 注意：“運(yùn)行”中鍵入gpedit.msc ，啟動的是本地組策略，我們要的是“域組策略”！所以必須右擊“AD用戶和計(jì)算機(jī)”中才能進(jìn)入。

3、組策略的執(zhí)行順序：

1 站點(diǎn)-〉域-〉組織單元（OU ）

2 計(jì)算機(jī)配置-〉用戶配置

4、組策略的沖突：

1 在不同組策略中的同一項(xiàng)目的設(shè)置相反，就是組策略沖突。如：在站點(diǎn)組策略中，“隱藏桌面上的網(wǎng)上鄰居圖標(biāo)”設(shè)置為“啟用”，而域的組策略上設(shè)置的是“禁用”。再如：在域的組策略中“密碼長度”設(shè)置為“7”，而OU 的組策略中設(shè)置的是“6”。

2 沖突的結(jié)果：后執(zhí)行的是結(jié)果。

5、組策略中的設(shè)置內(nèi)容：

1 軟件安裝：自動安裝應(yīng)用軟件。計(jì)算機(jī)配置和用戶配置下都有。準(zhǔn)備工作：軟件的源安裝文件，在安裝文件中要有.msi 為后綴的可執(zhí)行文件。將軟件的源安裝文件放到一個共享文件夾中。（網(wǎng)絡(luò)路徑）

A、已發(fā)行：由用戶決定是否安裝。如果軟件包是已發(fā)行方式，用戶登錄后，系統(tǒng)會在添加/刪除程序-〉添加新程序中顯示已發(fā)行的軟件包。在計(jì)算機(jī)配置中不能實(shí)現(xiàn)。

B、已指派：強(qiáng)制性安裝，自動安裝。

2 WINDOWS設(shè)置：

A、計(jì)算機(jī)配置：腳本（啟動和關(guān)機(jī)），安全設(shè)置。

B、用戶配置：IE 維護(hù)，腳本（登錄和注銷），安全設(shè)置（密鑰），遠(yuǎn)程安裝服務(wù)（為客戶機(jī)安裝WIN2000 PRO ），文件夾重定向（把用戶的一些重要文件夾重定向到文件服務(wù)器中）。

3 管理模板：

A、計(jì)算機(jī)配置：WINDOWS 組件、系統(tǒng)、網(wǎng)絡(luò)、打印機(jī)。

B、用戶配置：WINDOWS 組件、系統(tǒng)、網(wǎng)絡(luò)、任務(wù)欄和開始菜單、桌面、控制面板。

6、“組策略”選項(xiàng)卡下的操作：

1 刪除：刪除組策略對象。

注意：

A 非永久刪除：“從列表中移除連接”。只是在列表中刪除，還可以在系統(tǒng)中找到，并添加回來或添加到其他容器上。

B 永久性刪除：“移除連接并將組策略永久刪除”。徹底的刪除掉，在系統(tǒng)中無法找到了。 2 新建：新建一個組策略。

3 編輯：編輯指定組策略的設(shè)置。

4 添加：將系統(tǒng)中已有的組策略應(yīng)用到指定容器（域、OU 、站點(diǎn)）中。

5 選項(xiàng)：

A 禁止替代：禁止后執(zhí)行的組策略中的項(xiàng)目更改這個組策略的項(xiàng)目。如：在域的組策略中“密碼長度”設(shè)置為“7”，而OU 的組策略中設(shè)置的是“6”，并且在域的組策略中選擇了“禁止替代”。那么最終結(jié)果為“密碼長度”是“7”。

B 被禁用：指定組策略不在容器上應(yīng)用。

6 屬性：

A 禁止計(jì)算機(jī)配置：指定組策略的計(jì)算機(jī)配置在容器上不生效。

B 禁止用戶配置：指定組策略的用戶配置在容器上不生效。

C “安全”選項(xiàng)卡：對于指定組策略的控制權(quán)限的設(shè)置。

7 如果在一個容器上有多個組策略，在組策略列表中上端的先執(zhí)行，依次向下執(zhí)行。

A “向上”/“向下”按鈕：修改容器上的組策略在列表中的位置，從而修改了容器上組策略的執(zhí)行順序。

8 “阻止策略繼承”選項(xiàng)：從更高級站點(diǎn)、域或組織單位繼承的策略可以在該站點(diǎn)、域或組織單位級別被拒絕。禁止更高級別的組策略在該容器上執(zhí)行。

A “阻止策略繼承”如果已啟用“禁止替代”，則不會阻止“組策略”對象。

B “阻止策略繼承”只能在站點(diǎn)、域和組織單位上設(shè)置，而不能在單個“組策略”對象上設(shè)置。

7、最佳操作

1 組策略：

A 禁用組策略對象的未使用部分。

B 使用阻止策略繼承和禁止替代部分功能。

C 最小化與域中或組織單位中的用戶關(guān)聯(lián)的組策略對象的數(shù)量。應(yīng)用于用戶的組策略越多，它登錄的時間越長。

D 避免交叉域組策略對象分配。如果從其他域獲得組策略，那么組策略對象的處理將減慢登錄和啟動。 2 軟件安裝和管理

A 在 Windows 安裝程序包發(fā)行或指派之前確定它們已正確轉(zhuǎn)換。.msi 或 .mst文件。

B 每個組策略對象只指派或發(fā)行一次：例如，如果將 Microsoft Office 指派給受組策略對象影響的計(jì)算機(jī)，則不能再將它指派或發(fā)行給受組策略對象影響的用戶。

C 重新打包現(xiàn)有軟件。

D 使用DFS 。

E 在 Active Directory 層次結(jié)構(gòu)中的高層指派或發(fā)行。

3 文件夾重定向

A 讓“My Picture”文件夾始終跟隨“我的文檔”文件夾。

****************************************************************************************************************************************************************************

了解以上組策略知識后，我們就開工 (*^__^*) ??

組策略管理在windows 域管理中占有重要地位，本身也不是新的內(nèi)容了。但微軟在Windows2008中終于集成了一個非常好用的組策略管理工具——組策略管理控制臺。注意：2008 r2 右擊域或者OU 的屬性中不再出現(xiàn)“組策略”。

在Server 2008以前的Windows Server 中要想配置組策略， 是件麻煩事。后來微軟推出了一個小工具——gpmc ，

才解決了問題，但這個工具需要下載和安裝，許多人不知道有這個工具的存在。在Windows 2008 R2

中，微軟將它集成了進(jìn)來，大大方便了管理員對于組策略的管理和配置。首先，讓我們看看它的廬山真面目吧！ 在“開始”-“管理工具”-“組策略管理”，就可打開?；蛘咴凇斑\(yùn)行”中鍵入gpmc.msc ，也能打開：

對“財政部”的用戶統(tǒng)一桌面，右擊“財政部”

-“在這個域中創(chuàng)建GPO 并在此處鏈接”

命名為“財政部組策略對象”

右擊-“編輯”

1、啟用" 用戶配置--管理模板--桌面--Active Desktop-啟用Active Desktop "， "禁用Active Desktop"保持" 未配置"

2、啟用" 用戶配置--管理模板--桌面--Active Desktop--桌面墻紙" 并在墻紙" 名稱" 處輸入墻紙的路徑