★ 学习目标 ★

• 熟悉组策略的概念、功能和应用特点• 掌握账户管理策略、用户权限分配策略、安全策略和脚本策略的配置及应用

• 掌握文件夹重定向策略的功能及配置方法• 掌握通过组策略向域客户端分发和管理软件的方法• 掌握利用软件限制策略管理用户端软件的实现方法

第 10讲 用组策略管理网络

重点难点

• 掌握文件夹重定向策略的功能及配置方法• 掌握通过组策略向域客户端分发和管理软件的方法• 掌握利用软件限制策略管理用户端软件的实现方法

10.1 组策略概述

组策略定义了需要由系统管理员管理的用户桌面环境中的各种组件，例如，用户可以使用的程序出现在用户桌面上的程序以及“开始”菜单选项等。用户指定的组策略设置包含在一个组策略对象（ Group Policy

Object， GPO ）中，该组策略对象又与选定的活动目录（ Active

Directory， AD ）对象（如站点、域或组织单位）关联。

10.1.1 组策略的特点

• 微软的操作系统从 Windows 2000 开始提供了组策略功能，对于早期的 Windows NT 4.0和Windows 98 等操作系统仅提供了组策略管理工具。组策略主要具有以下的特点：– 一是实现“ one-to-many” 方式的管理。– 二是实现对客户端的分类管理。– 三是实现对客户端的远程管理。。– 四是实现对客户端的安全管理。五是实现标准的用户环境。

• 10.1.2 组策略的功能• 通过组策略，可以进行如下的操作：• 1 ． 软件分发• 通过组策略可以将软件分发到每一个客户端，管理员不需要分别到每

一台计算机上去安装软件。• 2 ． 软件限制• 可 以 限 制 客 户 端 能 够 使 用 哪 一 种 或 哪 一 类 型 的 软 件 。 此 功 能 是

Windows XP/2003/Vista 操作系统中新增加的一个功能， Windows 2000 及以前版本的操作系统中不具有此功能。

• 3 ． 安全设置• 在组策略中可以通过分发密码策略、账户锁定策略等安全策略，来实

现对客户端的安全设置。同时，通过组策略还可以实现对客户端用户权限的管理，如是否允许关机等。

•4 ． 基于注册表的设置

•5 ． IE 维护

•6 ． 脱机文件夹

•7 ． 漫游配置文件和文件夹重定向

•文件夹重定向是 IntelliMirror （智能镜像）的一个特性，它允许用户将一个文件夹的路径重定向到一个新位置。这个新位置可能是一个本地计算机上的文件夹，还可能是一个网络共享目录。

•8 ． 计算机和用户脚本

10.2.1 计算机配置和用户配置•组策略中包含“计算机配置”和“用户配置”两部分。其中，计算机配置用于当启动计算机时，系统就会根据已设置的计算机配置内容来配置计算机的环境•当用户登录时，系统会根据已设置的用户配置的内容来配置用户的工作环境。例如，如果在活动目录域中针对某一个组织单位设定了组策略，那么该组策略内的用户配置就会被应用到该组织单位内的所有用户。•另外，除可以针对域、组织单位等来设定组策略外，还可以针对一台计算机配置“本地计算策略”，但这个计算机策略只会应用到本地计算机以及在该计算机登录的所有用户。

10.2 组策略应用中的一些概念

•10.2.2 组策略对象

•组策略是通过“组策略对象”（ Group Policy Object， GPO ）来设定的，只要将 GPO 链接到指定的站点、域或组织单位（ OU ），该 GPO 内的设定策略就会作用于该站点、域或 OU 内的所有用户和计算机。

•在安装了活动目录域控制器后，系统内建了两个 GPO 。其中，“ Default

Domain Policy” 已经被链接到域，被应用到整个域内的所有用户与计算机。而“ Default Domain Controller Policy” 已经被链接到“ Domain Controllers” 组织单位，被应用到域控制器组织单位内的所有用户与计算机。

图 10.1 应用于域控制器的组策略 图 10.2 “应用于 Domain Controllers” 的组策略

10.2.3 组策略的应用时机

当修改了站点、域或 OU的 GPO 配置后，这些配置值并非马上应用到指定站点、域或 OU 内的用户与计算机，而是依据是计算机配置还是用户配置，以及所采取的措施而定。其中，如果是计算机配置，域内计算机会在以下情况下启用 GPO 内的配置：• 启动计算机时。• 在没有重启计算机的情况下，如果是域控制器则默认每隔 5 分钟后自动启用，如果是非域控制器则默认 90~120 分钟内自动启用。• 不论策略配置值是否发生改变，系统会每隔 16 小时自动启用一次组策略。• 如果在修改了组策略配置后需要立即启用，则可以在“命令提示符”下运行以下命令：gpupdate /target:computer /force

•如果是用户配置，域内的用户会在以下情况下启用 GPO 内的配置：

• 用户登录时。

• 在用户未注销、登录的情况下，系统默认在 90~120 分钟内启用。

• 不论策略配置值是否发生改变，系统会每隔 16 小时自动启用一次组策略。

• 立即启用。则可以在“命令提示符”下运行以下命令：

gpupdate /target:user /force

•不过，部分组策略的配置，必须在计算机重新启动或用户重新登录时才会启用，如“软件安装策略”、“文件夹重定向策略”。

•10.2.4 组策略的处理规则

•一是子容器继承父容器的组策略。

•二是子容器的组策略配置将覆盖父容器的组策略配置。

•三是组策略配置值的累加性。举例来说，如果在某一域内启用了 GPO ，同时为该域内的某一个组织单位（ OU ）也启用了 GPO 。这时，该组织单位中的计算机与用户真正起作用的 GPO 配置是前面两者的累加，即将域内的GPO 和组织单位内的 GPO 累加起来，作为组织单位的 GPO 。不过，在此过程中，当域内的 GPO 与组织单位内的 GPO 配置发生冲突时，则以处理顺序在后的 GPO 优先。另外，如果将多个 GPO 链接到同一个 OU ，那么所有 GPO 的配置将被累加起来，作为最后的有效配置值。

•四是“计算机配置”优先。如果组策略内的“计算机配置”与“用户配置”发生冲突时，一般情况下是以“计算机配置”优先。

10.3.1 管理模板策略

•以一个实例来介绍组策略中的“管理模板策略”的功能及应用。其中，让用户创建的“网管中心”组织单位内的所有用户在登录域后，在“开始”菜单中不再存在“运行”功能选项。

10.3 利用组策略来管理用户环境

图 10.3 “创建名为 网管中心 GPO” 的 GPO

图 10.4 “ 组策略编辑 ”器 窗口

图 10.5 设置是否启用组策略配置 图 10.6 “ ”客户端未发现 运行 功能选项

•10.3.2 账户管理策略的配置和应用

•1 ． 密码策略

•在配置账户策略时，需要特别注意：整个域内的用户共享同一个账户策略，而且必须通过内置的 Default Domain Policy 组织单位来配置。也就是说，不论域用户位于哪个 OU 内，账户策略都会应用到该域内的所有用户。另外，账户策略不但将被应用到域用户账户，也将被应用到所有域成员计算机内的本机用户账户。

•由于账户策略将被应用到域内的所有用户，所以在配置账户策略时不需要分别选择 OU ，而只要针对域名进行配置。

图 10.7 “ ”密码策略 设置窗口

•2 ． 账户锁定策略

•账户锁定策略是系统提供的一项安全设置功能，它在指定时间段内进行了多次登录尝试失败后将锁定用户账户，不再允许该用户账户尝试登录该系统。管理员可以在如图 10.8 所示的对话框中设置账户锁定策略。

图 10.8 “ ”账户锁定策略 设置窗口

10.3.3 用户权限分配策略的配置和应用用户权限是指允许用户在计算机系统或域中执行的任务。打开“组策略编辑器”窗口，选取“用户权限分配”策略，在打开的如图 10.11 所示的对话框中分配给域用户或组运行特殊工作的权限

图 10.11 “ ”用户权限分配 设置窗口

10.3.4 安全选项策略的配置和应用该策略的目的是向用户提供当前版本的 Windows 操作系统中可用的“安全选项”安全设置。打开“组策略编辑器”窗口，选取“安全选项”策略，在打开的如图 10.13 所示的对话框中为组织单位（ OU ）启用计算机的一些安全设置。

图 10.13 “ ”安全选项 设置窗口

10.3.5 脚本策略的配置和应用用户可以定义一个在用户登录 / 注销或系统启动 / 关机时运行脚本的 GPO 设置，所有脚本都支持 Windows Scripting Host（WSH ），因此它们可能包括 Java 脚本或 Visual

Basic 脚本以及 .bat和 .cmd 文件。具体来说，利用脚本策略可以让域内用户在登录时自动运行“登录脚本”，而当用户注销时自动运行“注销脚本”。另外也可以设置让计算机在开机启动时自动运行的“启动脚本”，当关机时自动运行的“关机脚本”。

1．登录 / 注销脚本策略下面我通过一个操作实例来介绍“登录 / 注销”脚本的功能及应用。首先分别创建两个脚本文件：一个为“登录”脚本，另一个为“注销脚本”。具体可使用“记事本”等文本编辑器来创建，其中“登录”脚本的文件名为 login.vbs ，输入的内容为：wscript.echo “欢迎您登录网络学院内部网络！”“ 注销”脚本的文件名为 logout.vbs ，输入的内容为：wscript.echo “欢迎您再次访问网络学院内部网络，再见！”然后，我们以“网管中心”组织单位的“网管中心 GPO” 为例介绍具体的配置和使用方法。

图 10.15 “ ”网管中心 组策略标签

图 10.16 “ ”脚本 策略设置窗口

图 10.17 “ ”登录属性 对话框

图 10.18 “ ”将 登录 脚本文件 login.vbs复制到文件夹内

图 10.19 添加脚本名称和参数

完成以上设置后，“网管中心”组织单位内所有用户在登录会自动运行“登录”脚本login.vbs ，并出现如图 10.20 所示的提示。当注销时会自动运行“注销”脚本logout.vbs ，并出现如图 10.21 所示的提示。

图 10.20 “ ”显示 登录 脚本信息 图 10.21 “ ”显示 注销 脚本信息

• 2． 启动 / 关机脚本策略• “ 启动 / 关机”脚本策略的设置方法与前面介绍的“登录 / 注销”脚本策略的设

置方法基本相同，只是在两个方面要引起注意：– 一是“启动 / 关机”脚本策略主要针对计算机，如果要针对域中某个组织单

位（如“网管中心”）设置“启动 / 关机”脚本策略，则该策略会被应用到该组织单位中的“计算机”（如图 10.22 所示），而非“用户”。

– 二是“启动 / 关机”脚本策略是在“计算机配置”中设置而“登录 / 注销”脚本策略在“用户配置”中设置。

图 10.22 “ 启动/ ”关机 脚本策略的适用对象是域中的计算机

10.3.6 文件夹重定向策略的配置和应用

文件夹重定向是利用组策略将域中某些用户的特殊文件夹重定向到某一台计算机上的指定位置上。这些特殊文件夹主要包括： Application data （此文件夹包含用户在应用程序内的专属数据，如个人设置数据）、桌面、我的文档和 [ 开始 ]菜单。下面，通过一个具体的实例来介绍文件夹重定向的应用。本实例中，要将域内“网管中心”组织单位中所有用户的“我的文档”文件夹重定向到“ Server1”

计算机的“ mysoft” 文件夹下。即凡是位于“网管中心”组织单位中的用户在域中的任何一台计算机上登录，打开“我的文档”文件夹时，将会被定向到“ Server1” 计算机上“ mysoft” 的文件夹下。

图 10.24 “ ” “ ”选取 我的文档 的 属性 菜单项

图 10.25 “ ”设置 我的文档 的重定向

图 10.26 “ ”用户端 我的文档 被重向后的显示

• 将用户的“我的文档”文件夹重定向到网络中指定的计算机（一般为服务器）上具有以下的好处：一是用户在域中的任何一台计算机上登录，都可以访问到该文件夹；二是便于对这些存储在指定计算机上的数据进行定期备份等安全管理措施；三是如果将“我的文档”文件夹的重定向功能与指定计算机上的“磁盘配额”功能进行有机结合，即可以让用户将重要数据通过“我的文档”文件夹保存到指定的计算机上，还可以在指定的计算机上为每一个用户设置可使用的磁盘容间的权限；四是如果重新安装操作系统，那么位于原来计算机上“我的文档”文件夹下的内容将全部丢失。但是，如果对“我的文档”文件夹进行了重定向后，因为用户的数据存储在指定的计算机上，所以重新安装操作系统并不会使“我的文档”文件夹中的数据丢失。

9.5 组建基于域模式的网络

10.4 利用组策略在网络中部署软件

• 10.4.1 软件指派与分发的概念• 在通过组策略为域中的用户或计算机部署软件时可以分为“指派”和“发布”两种方式。

• 软件指派– 根据部署对象的不同，软件指派可分为指派给用户和指派给计算机。如

果是通过组策略的 GPO 指派给域内的用户后，则用户在域内的任何一台计算机登录时，会接收到安装这个软件的通知，并会在“开始→所有程序”中自动创建该软件的快捷方式，一般不会自动进行安装。

– 在将一个软件通过组策略的 GPO 指派给域内的计算机后，当这台计算机启动时，这个软件就会自动安装到这台计算机里，而且是安装到公用程序组（即 Documents and Settings\All Users 文件）内，以便供所有登录该计算机的用户使用。

• 3 ． 软件发布• 软件发布不像软件指派，软件只能发布给域中的用户，而无法发布到计算机。

例如，在将一个软件通过组策略的 GPO 发布给域内的用户后，该软件不会自动安装到用户的计算机内，而是需要通过以下两种方式来安装这个软件（假设客户端使用的是 Windows XP Professional 操作系统）：一是选择“开始→控制面板→添加 /删除程序→添加程序”来安装；二是利用“文件关联”功能来安装。

• 4 ．自动修复和删除软件• 在一个软件被指派或发布并被安装后，如果此软件在使用中出现某分文件损坏，或用户不小心删除了程序文件，系统会探测到该现象并自动进行修复或重新安装该软件。另外，如果管理员要删除已指派或发布给域内用户或计算机的软件，可以将该软件从 GPO 内已发布或指派的软件清单中删除，并设置用户或计算机在下次登录时自动将这个软件删除就可以了。

10.4.2 向用户端发布软件下面的实验中，我们将 Office 2003 发布到域中“网管中心”组织单位的所有用户。

图 10.27 “ ” “ ”选择 软件安装 的 属性 项

图 10.28 设置 Office 2003安装源文件的网络路径

图 10.29 选取.MSI文件

图 10.30 “ ”选择 已发布 项

图 10.31 显示已发布的软件

10.4.3 安装已发布的软件

• 如果该软件在使用中出现文件破坏，系统会自动探测到该事件，并自动安装被破坏的文件。在实验中，读者可将客户端 Office 2003 安装目录下的 Word.exe 文件删除（只有系统管理员才有此权限），然后再以域用户（ wq ）登录，当要编辑一个 Word 文档时，系统通过“文件关联”方式自动安装 Word 程序。

图 10.32 在用户端显示已发布的软件名称

• 10.4.4 发布关应用非.msi的软件• 目前使用的软件，还在大量的并不支持.msi方式。为了通过组策略部署这些非.msi的软件，可以通过建立一个扩展名为.zap的文件来完成。但在部署非.msi软件时需要注意以下几点：

• 非.msi软件只能被发布给用户，而无法指派给用户或计算机。• 不具备自动修复等.msi软件才具备的功能。• 大部分安装过程需要人工参与。• 用户必须具备安装软件的权限，例如必须是系统管理员，否则拒绝安装。

10.5 利用软件限制策略管理用户端软件

– “软件限制策略”是利用组策略的 GPO ，通过定义一些规划，控制本地计算机、站点、域与组织单位（ OU ）是否可以运行软件。

• 10.5.1 软件限制策略的应用规则– 软件限制策略可以针对本地计算机、站点、域与 OU 来设置，其

中优先级从高到低为“ OU 策略”→“域策略”→“站点策略”→“本地计算机策略”。

• 1 ． 软件限制策略的两种安全级别

软件限制策略的安全级别可以分为以下两种：– · 不受限的：即所有登录的用户都可以运行指定的软件。– · 不允许的：不论用户对软件文件有哪些访问权限，该软件都不允许运行。 系统默认的安全级别是所有软件都为“不受限的”，即只要用户对要运行

的软件文件拥有一定的访问权限，就可以运行该软件。• 另外，除“不受限的”和“不允许的”两种安全级别外，在域环境中

还提供了哈希规则、证书规则、路径规则和 Internet区域规则共 4种另外的安全级别。

• 2 ． 哈希规划

• “哈希”（ hash ）是根据软件程序的内容计算得出的一连串固定数目的字节。由于哈希是根据软件程序（文件）的内容计算出的，所以不同的软件就会存在不同的“哈希”值，并用来标识或鉴别不同的软件。

• 在为某一个软件建立哈希规划，不允许用户运行该软件时，系统就会计算得出一个“哈希”值。当用户要运行这一软件时，用户的计算机就会判断该用户所拥有的“哈希”值与系统为该软件计算的“哈希”值是否相同。如果相同，就拒绝让该软件运行。

• 根据“哈希规划”，即使软件的名称被修改或被移动到其他的文件夹，由于其“哈希”值并没有改变，因此仍然受到软件限制策略的约束。但是，当软件因感染病毒或人为破坏后，由于其“哈希”值发生了变化，所以该软件将不受到软件限制策略的约束。

• 3． 证书规则• 软件限制策略可以通过“签署证书”来标识软件。根据“证书”系统的相关规划，允许或拒绝用户运行软件。• 4． 路径规则• 软件限制策略也可以利用部署软件时所在的路径来标识和辨别软件。例如，指定用户可以运行位于某个文件

夹内的软件，但该软件移动到其他文件夹时将不会受到软件策略的约束。路径中可以使用环境变量，如%windir%、%temp% 等。另外，还可以通过“注册表”来辨别和标识软件，即根据该软件在注册表中所

记录的存储位置来标识和辨别软件。

• 5． Internet区域规则• 软件限制策略也可以利用软件所在的“ Internet区域”来标识和辨别

软件，这些区域包括本地计算机、本地 Intranet 、受信任站点、受限制的站点和 Internet 。

图 10.37 Internet区域规则的应用

10.5.2 软件限制策略的应用实例下面，以“哈希规则”为例介绍软件限制策略在客户端软件管理中的具体应用。其中，让“网管中心”组织单位中的用户不允许运行“ Windows优化大师”。

图 10.38 系统默认的软件限制策略设置

图 10.39 “选取 Windows ”优化大师 的运行程序

图 10.40 设置哈希规则

图 10.41 显示新创建的哈希规则

图 10.42 拒绝运行“ Windows ”优化大师

对于 Windows 网络来说，使用基于域环境的组策略可以对用户账户和加入域

的计算机的运行环境进行配置，从而实现对用户的管理。从作者多个的工作经

验来看，虽然目前市面上都许多网管软件，可以对用户的网络访问权限、网络

资源的使用权限等进行管理，但是如果能够很好的规划和使用基于域环境的组

策略，完全可以取得各类第三方的管理软件，而且使用效果非常好。