域網(wǎng)絡(luò)構(gòu)建教程（4）組策略（獻(xiàn)給還在2003上奮斗的窮人們）古人云：運籌帷幄之中，決勝千里之外。這大概就是用兵的最高境界了吧！作為一個生于和平年代的網(wǎng)絡(luò)管理人員，這輩子帶兵是沒戲了。不過在域環(huán)境的幫助

域網(wǎng)絡(luò)構(gòu)建教程（4）組策略（獻(xiàn)給還在2003上奮斗的窮人們）

古人云：運籌帷幄之中，決勝千里之外。這大概就是用兵的最高境界了吧！

作為一個生于和平年代的網(wǎng)絡(luò)管理人員，這輩子帶兵是沒戲了。不過在域環(huán)境的幫助下，這個決勝千里的最高境界努力一下倒是可以體會體會的。所借助的神兵利器就是——組策略。 實際上組策略的設(shè)置工具在我們常用的XP 系統(tǒng)上一直存在，通過在運行欄中輸入gpedit.msc 就可以啟動本地計算機的組策略編輯器。截圖如下：

馬馬虎虎的講我們可以把組策略編輯器看作是微軟提供的一個圖形化的注冊表編輯器，所見

即所得一直都是微軟的看家本領(lǐng)啊。

有了域環(huán)境之后，通過使用相關(guān)管理工具在域控制器上設(shè)置組策略就可以實現(xiàn)對所有加入域中的用戶和計算機的管理與控制。在實際使用中，我感覺這種管理與控制幾乎覆蓋了使用中的方方面面，反正現(xiàn)在我只要在域控制器上動動手指頭，就可以讓全校的網(wǎng)絡(luò)環(huán)境產(chǎn)生天翻地覆的變化——比如讓所有人都無法使用計算機。理論上這是完全可以實現(xiàn)的，

有興趣的可

以在看完本文后自己實踐一下（后果自負(fù)哈）。

閑話少說，書歸正傳。按前文所講我們已經(jīng)具備了使用組策略統(tǒng)一管控用戶和計算機的域環(huán)境。現(xiàn)在在域控制器上打開組策略編輯器，注意這里不能使用gpedit.msc （那是編輯本機策略的），而要打開“開始——程序——管理工具——Active Directory 用戶和計算機”。

截圖如下：

在打開的窗口中選擇你的域名，并在其上右擊選擇屬性，

然后在彈出的屬性對話框中選擇組

策略?，F(xiàn)在你就會看到默認(rèn)域策略——Default Domain Policy，截圖如下：

單擊編輯按鈕就可以打開組策略編輯器。更改其中的選項就會對所有加入域中的用戶和計算機產(chǎn)生影響。這是因為計算機啟動以及用戶登錄時都會查詢域控制器并使用這里的組策略設(shè)置。不過建議大家一般不要改動默認(rèn)域策略——Default Domain Policy，這樣便于我們隨

時恢復(fù)到系統(tǒng)默認(rèn)的設(shè)置。呵呵，留條出迷宮的路，是所有操作前的必修課。

默認(rèn)的不讓動，那我們怎么編輯組策略呢？答案就是通過組織單位上次我們在建立用戶和計算機時就已經(jīng)新建了兩個組織單位——全部用戶和全部計算機，注意組織單位將是一個我們經(jīng)常使用的劃分方式，組策略可以按層次模式很好的在其上運行，這樣也便于對今

后一定會日趨復(fù)雜的組策略進(jìn)行有效的管理。

注意這里我提到了層次模式，組策略是可以按層次逐級繼承的。這不但可以使策略設(shè)置簡潔

明了，出了問題還便于排查錯誤。

為了演示這種層次模式，我新建一個名為“用戶和計算機”的組織單位，

并將原來的兩個組

織單位移入其中。截圖如下：

現(xiàn)在打開“用戶和計算機”組織單位的屬性對話框，并進(jìn)入組策略編輯界面，新建一個作用于該組織單位的組策略對象并命名為——通用策略（當(dāng)然你也可以其別的名字）。截圖如下：

下面讓我們與組策略近距離親密接觸一下。別害怕只是接觸一下，看看我們都可以對最終用

戶施放那些魔法和大招。進(jìn)入編輯模式，截圖如下：

組策略分為兩大部分：計算機配置和用戶配置，這也是為什么我建立兩個組織單位分別放置用戶和計算機，這樣設(shè)置起來比較清楚。當(dāng)然你要想難得糊涂，放一起我也不攔著。 配置給計算機還是用戶有什么區(qū)別呢？首先計算機配置應(yīng)用于計算機（看起來象廢話哈），因此對所有使用計算機的用戶都起作用；其次計算機配置所使用的權(quán)限是系統(tǒng)級的（這里的權(quán)限是指的配置被應(yīng)用到計算機上時用到的權(quán)限），就是說Administrator 賬戶能做的它都能做（這句不理解沒關(guān)系，記住它接著往下看）。而用戶配置是針對我們在域控制器上建立的用戶，就是說不管用戶使用哪臺計算機它都產(chǎn)生作用。已經(jīng)被繞蒙了的同志聽我通俗的說一下：計算機配置跟著機器走，誰用都這樣；用戶配置跟著人走，用誰都這樣。再不懂那啥??

別難為自己換個活干干吧！呵呵！

以后再看到這兩部分中有重復(fù)的就明白是怎么回事了吧！當(dāng)然還要注意設(shè)置的時候，盡量不要引起使用中的沖突。雖然重復(fù)的配置項大多都在描述中說明了沖突的配置項哪一部分會最

終起作用，但是讓傻實在的計算機玩自相矛盾，恐怕會在使用中出怪毛病。

一、計算機配置

1、軟件設(shè)置

這里面就一個項目——軟件安裝，而且沒有描述，因為要完全搞定這個問題足可以

寫篇文章了，還不一定能給你整明白了。這里我只說明重要的幾點內(nèi)容如下：

設(shè)置軟件安裝的屬性對話框。使用本機或網(wǎng)絡(luò)共享的UNC 路徑設(shè)置軟件安裝包的位置，以免每次添加軟件包都要查找。安裝用戶界面選項設(shè)為基本就可以實現(xiàn)透明安裝，用戶

不會見到任何提示或設(shè)置窗口。截圖如下：

右擊軟件安裝，選擇新建——程序包即可。當(dāng)然你要先把軟件安裝包放到上面設(shè)置的路徑下才行。包的格式必須是MSI 的，這是最困難和復(fù)雜的部分，這種包大多需要自己做，我發(fā)過制作五筆安裝包的帖子，自己找找看吧。如果使用EXE 的文件需要寫一個以“.zap”結(jié)尾的特殊格式的文本文件（網(wǎng)上有，自己搜），而且EXE 安裝包還要支持靜默模式，否則會彈出

設(shè)置對話框，那你就等著接用戶的電話吧。

XP 的計算機需要啟動兩次才能夠安裝軟件包，因為默認(rèn)有登錄優(yōu)化設(shè)置。

這里安裝的軟件包只在客戶機上運行一次，而且可以供任何一個使用此計算機的用戶使用。

后面用戶配置里還有一個軟件安裝，那里安裝的就不一樣了。

注意，實踐證明：如果在網(wǎng)絡(luò)路徑上存放安裝包，要放到速度較快的服務(wù)器上，不然會出現(xiàn)

找得到裝不上的怪毛病。

2、Windows 設(shè)置（項目太多只說常用的）

項目：腳本（啟動/關(guān)機）

此項目中可以放置Windows 系統(tǒng)能夠運行的一切文件。我一般使用批處理或vbs 腳本，不要太復(fù)雜否則會拖慢系統(tǒng)啟動速度。合理有效的使用這一功能，發(fā)揮你的想象，只有想不到?jīng)]有做不到哦。舉個簡單的例子——自動添加網(wǎng)絡(luò)打印機。使用記事本輸入代碼如下并保存為

vbs 腳本

On Error Resume Next

Set WshNetwork = WScript.CreateObject("WScript.Network")

'Add the network printer 1 & 2

WshNetwork.AddwindowsPrinterConnection "printerserverprinter1"

WshNetwork.AddwindowsPrinterConnection "printerserverprinter2"

'Default printer1

WshNetwork.SetDefaultPrinter "printerserverprinter1"

注意：printerserverprinter1、printerserverprinter2這種東東要換成你的打印

機共享路徑。

放置方法如圖所示：

這樣，用戶不需要做任何設(shè)置就可以直接打印了。

啟動里的腳本是在開機時執(zhí)行，關(guān)機里的腳本是在關(guān)機時執(zhí)行，其他設(shè)置方法都一樣。

項目：安全設(shè)置

賬戶策略設(shè)置對密碼長度及格式的要求以及輸錯密碼后賬戶的鎖定狀態(tài)。每個選項打開后都有解釋，建議認(rèn)真閱讀后再進(jìn)行設(shè)置。對于不同安全級別的用戶和計算機要區(qū)別對待。一刀切的結(jié)果要么是服務(wù)器很快被攻破，要么是電腦超菜的BOOS 怒氣沖沖的質(zhì)問你為什么打不開自己的計算機。這就是為什么要逐級建立組織單位，按層級模式設(shè)置組策略。一般原則是保障關(guān)鍵設(shè)備賬戶的安全（比如服務(wù)器和域管理員），保證對普通用戶的簡單友好（空密碼

都是允許的）。

本地策略的本地指的是組織單位里的計算機賬戶所代表的機器。在這里甚至可以監(jiān)控用戶對文件的建立、刪除等操作，審核對象訪問就可以了，不過對于操作頻繁的位置開啟審核會產(chǎn)生大量的日志文件。如果你一年半載的也不看回日志的話，只開如圖的幾個就可以了。

截圖