Windows Server 2008 中通过组策略向计算机或用户部署网络打印机

server2008域控组策略

server2008域控组策略Server 2008域控组策略是Windows Server 2008操作系统中用于管理和配置域内计算机和用户的一种强大工具。

通过域控组策略，系统管理员可以集中管理和控制域中的计算机和用户，确保网络的安全性和合规性。

本文将介绍Server 2008域控组策略的基本概念、功能和使用方法。

一、基本概念1.1 域控制器域控制器是指在Windows Server操作系统中运行域服务（Active Directory）的服务器。

域控制器存储和管理域中的所有用户账户、计算机账户、组策略等信息。

1.2 组策略组策略是一种在域控制器上创建和配置的一组设置，用于控制域中计算机和用户的行为。

组策略可以在域的不同层次上进行配置，如域级别、站点级别和组织单位级别。

二、功能2.1 安全性配置通过域控组策略，管理员可以配置密码策略、用户权限、网络安全性等设置，以确保域中计算机和用户的安全性。

例如，可以设置密码复杂度要求、账户锁定策略、防火墙设置等。

2.2 软件部署域控组策略还支持软件的自动部署和更新。

管理员可以通过组策略将特定的软件程序自动安装到域中的计算机上，或者更新已安装的软件。

这样可以提高软件的管理效率和一致性。

2.3 网络资源管理通过域控组策略，管理员可以配置网络资源的访问权限和管理策略。

例如，可以设置共享文件夹的访问权限、打印机的安装和配置、网络驱动器的映射等。

2.4 用户配置域控组策略还可以配置用户的桌面环境、任务栏设置、桌面壁纸等个性化设置。

管理员可以通过组策略为用户提供统一的工作环境，提高工作效率。

三、使用方法3.1 打开组策略管理器在域控制器上，可以通过“开始”菜单中的“管理工具”找到“组策略管理器”并打开。

3.2 创建和配置组策略在组策略管理器中，可以创建和配置不同的组策略对象。

可以右键点击“组策略对象”文件夹，选择“新建”来创建新的组策略对象；也可以右键点击已有的组策略对象，选择“编辑”来配置已有的组策略。

Windows Server 2008活动目录组部署论文

浅谈Windows Server 2008活动目录的组策略部署摘要：在windows server 2008 active directory环境中，组策略可以使it管理员自动管理用户和计算机，从而简化管理任务并降低it成本。

如何部署和配置组策略，实施安全性的设置，是it管理员在实施网络安全管理的过程中至关重要的部分，能够使管理工作变得简单化、条理化。

关键词：windows server 2008；active directory活动目录；组策略中图分类号：tp399 文献标识码：a 文章编号：1007-9599 (2011) 22-0000-01group policy arrangement study of windows server 2008 active directoryxu wenming(college of computer science&technology,huaqiao university,quanzhou 362000,china)abstract:in windows server 2008 active directory environment,group policy enables it administrators to manage users and computers automatically,simplifying management tasks and reduce it costs.how to deploy and configure group policy to implement security settings,it administrators in the implementation of network security management a vital part of the process,enabling management to becomesimplified,structured.keywords:windows server 2008;active directory active directory;group policy一、引言组策略（group policy，简称gp）是系统管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制，也是一种用于管理网络内用户设置和计算机设置的管理工具。

winserver2008r2开机显示group policy client的解决方法

winserver2008r2开机显示group policy client的解决方法（最新版）目录1.引言2.Group Policy Client 的作用3.WinServer2008R2 开机显示 Group Policy Client 的原因4.解决方法5.总结正文一、引言在 WinServer2008R2 操作系统中，有时开机时会显示“Group Policy Client”的提示，这让一些用户感到困惑。

本文将介绍这一现象的原因及解决方法。

二、Group Policy Client 的作用Group Policy Client（组策略客户端）是 Windows 操作系统中的一个组件，负责从域控制器下载和应用组策略设置。

组策略是一种管理企业网络中计算机和用户的方法，可以确保计算机和用户遵循统一的安全和配置策略。

三、WinServer2008R2 开机显示 Group Policy Client 的原因WinServer2008R2 开机显示 Group Policy Client 的原因可能有以下几点：1.计算机连接到了一个域，并且域控制器上启用了组策略。

2.计算机上的组策略客户端组件出现故障或损坏。

3.域控制器上的组策略设置有误。

四、解决方法针对上述原因，可以尝试以下解决方法：1.如果计算机连接到了一个域，并且域控制器上启用了组策略，可以通过修改组策略设置来禁用或调整开机时的提示信息。

具体操作如下：（1）打开“运行”对话框，输入“gpedit.msc”并回车，打开本地组策略编辑器。

（2）在左侧导航树中，展开“用户配置”>“管理模板”>“系统”，找到“预防访问控制列表”设置。

（3）双击“预防访问控制列表”设置，选择“已启用”选项，然后点击“应用”和“确定”。

2.如果组策略客户端组件出现故障或损坏，可以尝试重新安装组策略客户端。

具体操作如下：（1）打开“运行”对话框，输入“sfc /scannow”并回车，检查系统文件并修复错误。

网络操作系统----Windows Server 2008篇[项目5]用户与组的管理

Windows Server 2008针对这两种工作模式提供了三种不同类型的用户账户，分别是本地用户账户、域用户账户和内置用户账户。 1．本地用户账户本地用户账户对应对等网的工作组模式，建立在非域控制器的 Windows Server 2008独立服务器、成员服务器以及Windows XP客户端。本地账户只能在本地计算机上登录，无法访问域中其它计算机资源。本地计算机上都有一个管理账户数据的数据库，称为安全账户管理器（ SAM ， Security Accounts Managers）。 SAM 数据库文件路径为系统盘下\Windows\system32\config\SAM。在SAM中，每个账户被赋予唯一的安全识别号（SID，Security Identifier），用户要访问本地计算机，都需要经过该机 SAM中的SID验证。本地的验证过程，都由创建本地帐户的本地计算机完成，没有集中的网络管理。
熟悉用户账户的创建与管理熟悉组账户的创建与管理理解内置的组掌握设置用户的工作环境
在计算机网络中，计算机的服务对象是用户，用户通过账户访问计算机资源，所以用户也就是账户。所谓用户的管理也就是账户的管理。每个用户都需要有一个账户，以便登录到域访问网络资源或登录到某台计算机访问该机上的资源。组是用户账户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。用户账户由一个账户名和一个密码来标识，二者都需要用户在登录时键入。账户名是用户的文本标签，密码则是用户的身份验证字符串，是在Windows Server 2008网络上的个人唯一标识。用户账户通过验证后登录到工作组或是域内的计算机上，通过授权访问相关的资源，它也可以作为某些应用程序的服务账户。
有个用户之后，为了简化网络的管理工作，Windows Server 2008中提供了用户组的概念。用户组就是指具有相同或者相似特性的用户集合，我们可以把组看作一个班级，用户便是班级里的学生。当要给一批用户分配同一个权限时，就可以将这些用户都归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有此权限。组是指本地计算机或 Active Directory 中的对象，包括用户、联系人、计算机和其它组。在Windows Server 2008中，通过组来管理用户和计算机对共享资源的访问。如果赋予某个组访问某个资源的权限，这个组的用户都会自动拥有该权限。例如，网络部的员工可能需要访问所有与网络相关的资源，这时不用逐个向该部门的员工授予对这些资源的访问权限，而是可以使员工成为网络部的成员，以使用户自动获得该组的权限。如果某个用户日后调往另一部门，只需将该用户从组中删除，所有访问权限即会随之撤销。与逐个撤销对各资源的访问权限相比，该技术比较容易实现。

WindowsServer2008组策略设置

WindowsServer2008组策略设置详解1、组策略中包含两部分：1 计算机配置：针对计算机的配置，只在计算机上生效。

计算机启动的时候应用，在出现登录界面前。

2 用户配置：针对用户的配置，只在所有用户帐户上生效。

用户登录后应用。

2、根据应用范围将组策略分为三类：1 域的组策略：设置对于整个域都生效。

在“AD用户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU生效。

在“AD用户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点生效。

在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运行”中键入gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD 用户和计算机”中才能进入。

3、组策略的执行顺序：1 站点-〉域-〉组织单元（OU）2 计算机配置-〉用户配置4、组策略的冲突：1 在不同组策略中的同一项目的设置相反，就是组策略冲突。

如：在站点组策略中，“隐藏桌面上的网上邻居图标”设置为“启用”，而域的组策略上设置的是“禁用”。

再如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”。

2 冲突的结果：后执行的是结果。

5、组策略中的设置内容：1 软件安装：自动安装应用软件。

计算机配置和用户配置下都有。

准备工作：软件的源安装文件，在安装文件中要有.msi为后缀的可执行文件。

将软件的源安装文件放到一个共享文件夹中。

（网络路径）A、已发行：由用户决定是否安装。

如果软件包是已发行方式，用户登录后，系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。

在计算机配置中不能实现。

B、已指派：强制性安装，自动安装。

2 WINDOWS设置：A、计算机配置：脚本（启动和关机），安全设置。

B、用户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），文件夹重定向（把用户的一些重要文件夹重定向到文件服务器中）。

windows server 2008防火墙规则

windows server 2008防火墙规则
Windows Server 2008防火墙规则用于管理和控制网络流量。

以下是一些常见的Windows Server 2008防火墙规则：
1. 入站规则：用于控制从外部网络进入服务器的流量。

可以配置允许或禁止特定端口、IP地址或协议的流量进入服务器。

2. 出站规则：用于控制从服务器发送到外部网络的流量。

可以配置允许或禁止特定端口、IP地址或协议的流量离开服务器。

3. 安全规则：用于保护服务器免受恶意攻击。

可以配置阻止潜在威胁、防止未经授权的访问或限制敏感数据传输的规则。

4. NAT规则：用于网络地址转换（NAT）。

可以配置将一个
IP地址映射到另一个IP地址，允许服务器在不暴露真实IP地
址的情况下与外部网络通信。

5. 程序规则：用于控制特定程序的网络访问。

可以配置允许或禁止特定程序的入站或出站连接。

6. VPN规则：用于设置虚拟专用网络（VPN）连接。

可以配
置允许或限制远程用户通过VPN连接到服务器。

7. 高级安全规则：用于更复杂的网络安全需求。

可以配置更详细的访问控制列表、QoS（服务质量）规则、防火墙监控等。

以上规则只是示例，实际使用时应根据具体的网络安全需求进
行配置。

可以使用Windows防火墙管理工具（如Windows防火墙高级安全）来创建、编辑和管理这些规则。

Windows Server 2008 R2 网络配置与管理第7章打印管理

7.1.3 打印设置
• 1. 打印优先级
若希望不同的用户有不同的优先权，可以建立多个打印机，多个打印机对应的打印设备是同一台设备。然后，为每个打印机设置不同的优先级，并将不同优先级的打印机分配给不同的用户使用。 • 2. 打印时间 • 若希望不同的用户在不同的时间段使用打印机，也可以为一个打印设备建立多个打印机，每个打印机设置不同的允许打印的时间，然后将不同打印时间设置的打印机分配给不同的用户使用。 • 3. 打印机池 • 打印机池是将多台物理打印设备集合起来，创建一个打印机与多个打印设备相对应，通过一个打印机同时使用多个打印设备打印文件。当用户将打印任务发送给打印机时，打印机会根据当前打印设备的忙闲状态来决定将此打印任务发送到打印机池中哪台打印设备打印。
7.2 安装与配置打印机
• 7.2.1
在本地计算机上创建打印服务器 • 7.2.2 安装打印机 • 7.2.3 连接共享打印机 • 7.2.4 共享打印机的设置
7.2.1 在本地计算机上创建打印服务器
• （1）添加打印服务器角色
选择“文件和打印服务”
选择打印角色服务
7.2.2 安装打ห้องสมุดไป่ตู้机
• 1. 在本地计算机上安装USB口或IEEE1394口等即插即用打
第7章打印管理
7.1 打印相关概念
• 7.1.1 • 7.1.2 • 7.1.3
网络打印的概念共享打印与网络打印打印设置
7.1 打印相关概念
• 7.1.1
•
•
•
•
网络打印的概念打印设备：Windows Server 2008中，打印设备是我们常说的物理打印机。打印机：Windows Server 2008中，打印机是逻辑上的打印机，它实际上是应用程序和打印设备之间的软件接口，用户打印文件通过它送给物理打印机。将打印机分为物理打印机和逻辑打印机的目的是使用户的管理和使用更为方便。例如：两个用户使用同一台物理打印机，但需要不同的输出效果，或者控制不同用户使用打印机的优先级别、时段和权限等。打印服务器：用于连接物理打印设备，并将此打印设备共享给网络用户。打印服务器负责接收用户发来的文件，然后将它发往打印设备。

Windows Server 2008策略设置实战演练

Windows Server 2008 利用组策略来管理用户的工作环境策略设置实战演练：一、策略设置1：计算机配置由于系统默认是只有某些组（例如administrators）内的用户，才有权限在扮演域控制器角色的计算机上登录，因此一般用户在域控制器上登录时，屏幕上会出现“无法登录”的警告信息，除非他们被赋予允许在本地登录的权限。

以下假设要开放域XUBO，使Domain Users组内的用户可以在域控制器上登录，我们将通过默认的Default Domain Controllers Policy GPO来设置，也就是要让这些用户在域控制器上拥有允许在本地登录的权限。

1、到域控制器上利用系统管理员身份登录。

2、选择“开始”—“管理工具”—“组策略管理”。

3、如图1-1所示，展开到组织单位Domain Controllers，右击右边的Default DomainControllers Policy，选择“编辑”选项。

图1-14、如图1-2所示，展开“计算机配置”—“策略”—“Windows设置”—“安全设置”—“本地策略”—“用户权限分配”，双击右侧的“允许在本地登录”选项。

图1-25、如图1-3所示，单击“添加用户或组”按钮，输入或选择或xubo内的Domain Users组，单击两次“确定”。

图1-3完成后，必须等这个策略应用到组织单位Domain Controllers内的域控制器后才有效。

应用完后，就可以利用任何一个域用户到域控制器上登录，以便测试允许在本地登录功能是否正常。

二、策略设置2：用户配置以下假设域内有一个组织单位业务部，而我们要针对其内的所有用户来设置，而且限定他们必须通过企业内部的代理服务器上网。

假设代理服务器的网址为端口为8080，同时要将其浏览器Internet Explorer的“连接”t选项卡内更改Proxy设置的功能禁用，以免用户私自通过此处更改这些设置值。

由于目前并没有任何GPO被链接到组织单位业务部，因此我们先我们创建一个链接到业务部GPO，然后通过修改GPO设置值的方式来达到目的。

Win2008 Server组策略安全设置整理

1. 启用internet进程在运行里输入gpedit.msc->计算机配置->管理模板->windows组件->internet explorer->安全功能->限制文件下载->internet进程->选择已启用，日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示，单击提示对话框中的“确定”按钮，恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。

(作用：防止恶意代码直接下载到本机上)2. 对重要文件夹进行安全审核、打开组策略->计算机配置->Windows设置->安全设置->本地策略->审核策略->审核对象访问,右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选中该属性设置窗口中的“成功”和“失败”复选项，再单击“确定”按钮，如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败，都会被Windows Server 2008系统自动记录保存到对应的日志文件中，我们只要及时查看服务器系统的相关日志文件，就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了，一旦发现系统存在安全隐患的话，我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。

3. 禁止改变本地安全访问级别打开组策略->用户配置->管理模板->Windows组件->InternetExplorer->Internet控制模板->禁用安全页,右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选择已启用4. 禁用internet选项打开组策略->用户配置->管理模板->Windows组件->Internet Explorer->浏览器菜单->禁用“Internet选项”组策略的属性设置窗口打开，然后选中其中的“已启用”选项，最后单击“确定”按钮就能使设置生效了。

设置Windows Server 2008系统组策略功能

设置Windows Server 2008系统组策略功能2013-08-22 14:26 463人阅读评论(0) 收藏举报分类：windows（63）作者同类文章X尽管Windows Server 2008系统的安全性要领先其他操作系统一大步，不过默认状态下过高的安全级别常常使不少人无法顺利地在Windows Server 2008系统环境下进行各种操作，为此许多用户往往会采用手工方法来降低Windows Server 2008系统的安全访问级别。

可是，一旦降低了安全访问级别，Windows Server 2008系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情况下，我们仍然能够让Windows Server 2008系统安全地运行?要做到这一点，我们可以利用Windows Server 2008系统强大的组策略功能，来对相关选项参数进行有效设置!1、禁止恶意程序“不请自来”在Windows Server 2008系统环境中使用IE浏览器上网浏览网页内容时，时常会有一些恶意程序不请自来，偷偷下载保存到本地计算机硬盘中，这样不但会白白浪费宝贵的硬盘空间资源，而且也会给本地计算机系统的安全带来不少麻烦。

为了让Windows Server 2008系统更加安全，我们往往需要借助专业的软件工具才能禁止应用程序随意下载，很显然这样操作不但麻烦而且比较累人;其实，在Windows Server 2008系统环境中，我们只要简单地设置一下系统组策略参数，就能禁止恶意程序自动下载保存到本地计算机硬盘中了，下面就是具体的设置步骤：首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“管理模板”/“Windows 组件”/“Internet Explorer”/“安全功能”/“限制文件下载”子项，双击“限制文件下载”子项下面的“Internet Explorer进程”组策略选项，打开如图1所示的目标组策略属性设置窗口;选中“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样一来我们就能成功启用限制Internet Explorer进程下载文件的策略设置，日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示，单击提示对话框中的“确定”按钮，恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。

Windows Server 2008 R2 网络配置与管理第16章组策略的应用

• 3．账户策略 • （1）针对域用户所设置的账户策略必须通过域级别的GPO
来设置才有效，通过站点或组织单位的GPO所设置的账户策略，对域用户没有作用。 • （2）如果针对某个组织单位来设置账户策略，则这个账户策略只会被应用到位于此组织单位的计算机的本地用户账户，但是对于此组织单位内的域用户账户没有影响。
• 6．登录/注销，启动/关机脚本 • 脚本是为了登录/注销过程写好的脚本文件，通过文件中存
储的命令行与服务器进行交互，自动完成登录/注销过程而不需人工干预。 • 可以让用户登录时，系统自动运行登录脚本，当用户注销时，自动运行注销脚本；计算机在开机启动时自动运行启动脚本，关机时自动运行关机脚本。 • 登录/注销脚本在“用户配置”中的“Windows设置”中设置，启动/关闭脚本在“计算机配置”中的“Windows设置” 中设置。
图16-12 选择GPO
16.2.2 用组策略给用户发布或分配软件
1．用组策略向业务部发布软件
图16-15 选择部署方法
图16-14 选择软件
图16-16 控制面板
图16-17 程序和功能窗口
图16-18 获得程序
2．用组策略向财务部分配软件
16.2 实验目的与任务
• 模拟场景： • 财务部由于其业务的特殊性，需要特殊的用户环境，所以
为其建立特殊组策略对象。而一些典型的用户环境设置许多组织单位都可能用到，管理员可以设置一些独立的GPO，当某个组织单位需要这个环境时，就与该GPO链接。另外，业务部用户需要安装聊天工具QQ，统一发布，由用户自行安装。财务部计算机需要安装工行网银助手，用软件分配的方法让计算机启动后自行安装。
图16-6 设置拒绝登录
图16-7 设置能运行的程序

组策略在WINDOWS2008平台上的应用

想把Workstation 加入到DC，作为额外的辅助DC现在用检查网络连接的命令，结果显示passed就是对的此时只需要把windows中增加一条默认域控制器组策略就可以了windows2000中的组策略刷新查看dc完成情况组策略的概念组策略建在站点域OU应用对象用户对象计算机对象组策略功能介绍：设置集中化和分散化策略确保用户处于其所需的工作环境中控制用户和计算机的环境实施公司策略Sysvol 文件夹的重要性：若删除了sysvol 文件夹，会造成AD中组策略不可用，界面呈灰色，网络停用也会出现这样的问题删除sysvol文件夹运行去看组策略出现错误现添加sysvol文件夹刷新后就可以用组策略了windows2000时用Secedit 强制刷新windows2003时用gpupdate 刷新Ad 有关联DNS 有关联网络有关联Gpresult.exe查看组策略的结果重点查看：先安装一个gptools，然后把生成结果存到gp.txt Gpresult.exe 的应用GPOTool.exe 检验组策略文件的“健康情况”以及查看GPO的组策略还在不在如何应用先验证DC 再验证DC上的相关组策略Repadmin.exe 命令工具来做强行复制通过命令行进行强行复制使用NTFRSUtl.exe来检查订阅信息首先安装工具检查NTFS数据库文件FRS数据库文件位于winnt\ntfrs\jeb\ntfrs.jdb下面GPMC不是windows2003内置的工具安装GPMCGPMC的进入方式组策略管理控制台可以实现组策略的备份和还原组策略建模：可以模拟一个用户登录到另外一台计算机上是什么情况GPMC不能装在windows2000上，但是GPMC能够去管理windows2000的域使用第三方工具。

Windows Server 2008 R2 网络配置与管理第15章使用组策略

3．策略设置和首选设置
• 组策略内的设置可以再分为策略设置和首选设置。二者的
•
•
• •
区别如下：（1）只有域的组策略才有首选设置功能，本地计算机策略并无此功能。（2）策略设置是强制性设置，客户端应用这些设置后就无法更改；首选设置是非强制性设置，客户端可自行更改设置值，因此首选设置适合于用来当作默认值。（3）过滤策略设置，必须针对整个GPO来过滤，首选设置可以针对单一设置项目来过滤。（4）如果在策略设置与首选设置内有相同的设置项目，而且都已做了设置，但是其设置值却不相同时，则以策略设置优先。
3．组策略的功能
• 账户策略的设置：例如设置用户的密码长度、密码使用期限、账户
•
• •
• • • •
•
锁定策略等。本地策略的设置：例如审核策略的设置、用户权限的分配、安全性的设置等。脚本的设置：例如登录与注销、启动与关机脚本的设置。用户工作环境的设置：例如隐藏用户桌面上所有的图标、删除开始菜单中的运行／搜索／关机等功能、在开始菜单中添加注销选项、删除浏览器内部分选项、强制通过指定的代理服务器上网等。软件的安装与删除：用户登录或计算机启动时，自动为用户安装应用软件、自动修复应用软件或自动删除应用软件。限制软件的运行：通过各种不同的软件限制规则来限制域用户只能运行指定的软件。文件夹的重定向：例如改变文件、开始菜单等文件夹的存储位置。限制访问可移动存储设备：例如限制将文件写入U盘，以免企业内的机密丈件轻易地被带离公司。其他系统设置：例如让所有的计算机都自动信任指定的CA、限制安装设备驱动程序等。
15.1.2 组策略的配置内容
• 1．计算机配置与用户配置
• （1）计算机配置
• 当计算机开机时，系统会根据计算机配置的属性来设 • • • • •

Windows2008使用域策略部署打印机

Windows2008使用域策略部署打印机这篇教程假定 AD 域服务器与打印服务器分别为独自的服务器。

1、翻开“服务器管理器”，选择“功能” ，点击右侧的“增添功能”按钮；2、选择“打印和文件服务工具”进行安装；3、安装达成后，点击“开始”菜单，在“管理工具”中选择“打印管理”；4、在打印管理窗口的“打印管理”菜单上右击，选择“增添/ 删除服务器” ；5、将打印服务器（这里假定为172.22.3.9 ）的主机名或IP 地点输入后，点击“增添到列表”；6、就能看到下方的打印服器列表中就会增添增添的打印服器，而后点“确立”；，在7、相的打印服器中的打印机，在右右需要部署的打印机（注意：部署的打印机需要共享）出的菜中“使用策略部署 (C)⋯”；8、在使用策略部署的界面中点“ (B)⋯”按，需要关的GPO 象；9、在阅读组策略对象界面中选择需要关系的GPO 对象，这里选择的为“Print Install ”组策略对象，而后点击“确立”；10、这里需要选择部署的对象，用户或计算机，选择用户则表示当用户从头登录时履行此策略；选择计算机则表示当计算机重启时履行此策略；在此，我选择针对每位用户进行部署，选择好后，点击“增添(D)”；11、增添后在下次就会出现部署的打印机信息，而后点击“确立”；12、在弹出的窗口中检查能否部署成功，若成功，则点击“确立”；13、在打印管理界面中选择“已部署的打印机” ，这时应当能看到方才部署的打机，假如有，则恭贺你，此打印机已经部署成功，你能够注销域用户，而后再登录就能发现自动增添了这台部署的打印机了，若不可以，则刷新策略后再登录，刷新策略的命令：gpupdate /force用户注销后从头登录，假如没有部署的打印机，则会自动从域中下载安装打印机，假如已经存在部署的打印机，则不做任何操作；在此，引起假如打印驱动更新后，则用户端不会自动更新打印驱动的问题？解决方法：1、在 AD 中新增一个暂时用户，用户端用此暂时用户登录，则会自动更新驱动，而后使用自己的帐户则会发现驱动已经更新达成；2、改正部署目标，若本来为部署为用户，则改正为计算机，若本来部署为计算机，则改正为用户，同时在用户端刷新组策略，从头启动计算机，也可自动更新驱动，这类方法有可能需要多次刷新组策略及重启计算机；3、使用管理员帐户登录客户机，手动更新驱动；此三种方法，第一种相对简易一些。

WindowsServer2008之打印管理解析

企业的规模越⼤，同⼀个络内的打印机数量就越多，需要IT⼈员设置并管理这些打印机的时间也就越多，并将导致费⽤的增加。

Windows Server 2008包含打印管理功能，能够通过MMC来实现管理员对企业内（包括远程办公地点在内）所有打印机从单独的接⼝进⾏管理，监控和问题解决。

打印管理提供了即时的来⾃同⼀个控制台的有关所有打印机的状态以及打印服务器的详细信息。

打印管理能够帮助识别具有错误状态的打印机，并能够发出电⼦邮件通知，或在打印机或打印服务器需要修理时运⾏脚本。

在提供Web界⾯的打印机的模式下，打印管理能够读取这种额外的数据，即时在远程地点，也能使墨盒以及纸张数量等信息轻松得到管理。

本地打印服务器的管理员能够进⾏打印机的添加及删除。

打印管理能够⾃动检测所有同⼀个打印服务器⼦络中的打印设备，安装相应的打印机驱动，设置队列，并共享打印设备。

只有在⽆法找到打印机驱动时才需要⼿动⼲预。

打印管理服务实现了从任何运⾏Windows Server？ 2003 R2服务器，Windows Vista？，或Windows？ XP客户端（x86及x64）的计算机上集中管理企业内打印设备的功能。

管理打印设备打印管理服务可⽤于管理所有属于企业范围内的，包括分⽀机构在内的打印设备。

⽆论某台打印设备的安装地点是否在本地，控制打印设备共享⽅式，更新驱动器⽅式以及打印队列均具备同⼀个接⼝，因此⽆需导航到个⼈⽂件夹中进⾏每个打印服务器上的每个打印设备的设置。

通过将打印管理服务与“配置你的服务器”向导及终端服务结合，管理员能够⾃动搜索并安装位于分⽀机构的本地打印服务器上的络打印设备。

在分⽀机构的⼈员没有经过这⽅⾯培训的情况下，这种服务⽅式⼗分的必要。

在活动⽬录中列出及删除打印设备在活动⽬录中列出打印设备可使管理员更加易于找出并设置打印设备。

在打印设备安装在打印服务器上之后，管理员可以使⽤“打印管理服务”将它们在活动⽬录中列出。

WindowsServer2008利用组策略的安全设置

WindowsServer2008利用组策略的安全设置相信很多人都知道Windows Server 2008系统的安全功能非法强大，而它的强大之处不仅仅是新增加了一些网络安全功能，而且还表现在一些不起眼的传统功能上。

这不，巧妙对Windows Server 2008系统的组策略功能进行深入挖掘，我们可以发现许多网络技术安全应用秘密;现在本文就为各位朋友贡献几则这样的安全秘密，希望能对大家有用!1、限制使用迅雷进行恶意下载在多人共同使用相同的一台计算机进行工作时，我们肯定不希望普通用户随意使用迅雷工具进行恶意下载，这样不但容易浪费本地系统的磁盘空间资源，而且也会大大消耗本地系统的上网带宽资源。

而在Windows Server 2008系统环境下，限制普通用户随意使用迅雷工具进行恶意下载的方法有很多，例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能，或者通过限制下载端口等方法来实现上述控制目的，其实除了这些方法外，我们还可以巧妙地利用该系统的软件限制策略来达到这一目的，下面就是该方法的具体实现步骤：首先以系统管理员权限登录进入Windows Server 2008系统，打开该系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，进入对应系统的组策略控制台窗口;其次在该控制台窗口的左侧位置处，依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“创建软件限制策略”命令;接着在对应“软件限制策略”选项的右侧显示区域，用鼠标双击“强制”组策略项目，打开如图1所示的设置对话框，选中其中的“除本地管理员以外的所有用户”选项，其余参数都保持默认设置，再单击“确定”按钮结束上述设置操作;下面选中“软件限制策略”节点下面的“其他规则”选项，再用鼠标右键单击该组策略选项，从弹出的快捷菜单中点选“新建路径规则”命令，在其后出现的设置对话框中，单击“浏览”按钮选中迅雷下载程序，同时将对应该应用程序的“安全级别”参数设置为“不允许”，最后单击“确定”按钮执行参数设置保存操作;重新启动一下Windows Server 2008系统，当用户以普通权限账号登录进入该系统后，普通用户就不能正常使用迅雷程序进行恶意下载了，不过当我们以系统管理员权限进入本地计算机系统时，仍然可以正常运行迅雷程序进行随意下载。

域控Win2008下打印机的分发部署

域控Win2008下打印机的分发部署在Win2008域控中提供了打印管理组件，你可以通过它集中高效的管理网络中的所有打印机。

1.安装打印管理组件' ~9 \4 z2 s% A安装打印管理组件的过程非常简单，选择控制面板中的添加或删除程序，然后单击添加/删除Windows 组件，然后勾选管理和监视工具中的打印管理组件，点击确定后再点击下一步，最后单击完成即可。

点击管理工具中的打印管理即可运行打印管理管理控制台，如下图所示。

添加/删除打印服务器* A/ V3 U3 W5 b( W4 f! m默认情况下，只是列出了本地的打印服务器，因此首先我们需要添加网络中的打印服务器，右击打印服务器，然后选择添加/删除服务器。

在弹出的添加/删除服务器对话框，在添加服务器栏输入对应的服务器名，你也可以点击浏览来选择网络中的打印服务器，然后点击添加到列表：最后点击确定即可此时在打印服务器中即列出了对应的服务器，如下图所示，此时你就可以对打印服务器上驱动程序、纸张规格、端口和打印机进行管理了。

2.使用组策略部署打印机通过组策略部署打印机是通过一个名为PushPrinterConnections.exe的应用程序实现的，当在打印管理中使用组策略部署打印机后，你需要将此程序添加到计算机启动脚本（应用到计算机时）或（和）用户登录脚本（应用到用户时）中，当PushPrinterConnections.exe 执行时，它会读取组策略对象中配置的打印机连接设置并在本地添加网络打印机连接。

建议使用同一个组策略对象来部署打印机连接设置和执行PushPrinterConnections.exe，这可以确保只有接受这些打印机连接设置的用户或（和）计算机才会运行PushPrinterConnections.exe应用程序。

如果部署打印机连接设置应用到用户，你必须确保此用户具有本地计算机上添加设备的权限，通常情况下只有本地计算机上的管理员组账户才具有此权限。