2003系统域的组策略应用详解_

域网络构建教程（4）组策略

古人云：运筹帷幄之中，决胜千里之外。这大概就是用兵的最高境界了吧！作为一个生于和平年代的网络管理人员，这辈子带兵是没戏了。不过在域环境的帮助下，这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的 XP 系统上一直存在，通过在运行栏中输入 gpedit.msc 就可以启动本地计算机的组策略编辑器。截图如下：

马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器，所见即所得一直都是微软的看家本领啊。有了域环境之后，通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中，我感觉这种管理与控制几乎覆盖了使用中的方方面面，反正现在我只要在域控制器上动动手指头，就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的，有兴趣的可以在看完本文后自己实践一下（后果自负

哈）。

闲话少说，书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器，注意这里不能使用gpedit.msc（那是编辑本机策略的），而要打开“开始——程序——管理工具——Active Directory 用户和计算机”。

截图如下：

在打开的窗口中选择你的域名，并在其上右击选择属性，然后在弹出的属性对话框中选择组

策略。现在你就会看到默认域策略——Default Domain Policy，截图如下：

单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy，这样便于我们随时恢复到系统默认的设置。呵呵，留条出迷宫的路，是所有操作前的必修课。

默认的不让动，那我们怎么编辑组策略呢？答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机，注意组织单位将是一个我们经常使用的划分方式，组策略可以按层次模式很好的在其上运行，这样也便于对今后一定会日趋复杂的组策略进行有效的管理。注意这里我提到了层次模式，组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了，出了问题还便于排查错误。为了演示这种层次模式，我新建一个名为“用户和计算机”的组织单位，并将原来的两个组

织单位移入其中。截图如下：

现在打开“用户和计算机”组织单位的属性对话框，并进入组策略编辑界面，新建一个作用于该组织单位的组策略对象并命名为——通用策略（当然你也可以其别的名字）。截图如下：

下面让我们与组策略近距离亲密接触一下。别害怕只是接触一下，看看我们都可以对最终用户施放那些魔法和大招。进入编辑模式，截图如下：

组策略分为两大部分：计算机配置和用户配置，这也是为什么我建立两个组织单位分别放置用户和计算机，这样设置起来比较清楚。当然你要想难得糊涂，放一起我也不拦着。配置给计算机还是用户有什么区别呢？首先计算机配置应用于计算机（看起来象废话哈），因此对所有使用计算机的用户都起作用；其次计算机配置所使用的权限是系统级的（这里的权限是指的配置被应用到计算机上时用到的权限），就是说Administrator 账户能做的它都能做（这句不理解没关系，记住它接着往下看）。而用户配置是针对我们在域控制器上建立的用户，就是说不管用户使用哪台计算机它都产生作用。已经被绕蒙了的同志听我通俗的说一下：计算机配置跟着机器走，谁用都这样；用户配置跟着人走，用谁都这样。再不懂那啥……别难为自己换个活干干吧！呵呵！以后再看到这两部分中有重复的就明白是怎么回事了吧！当然还要注意设置的时候，尽量不要引起使用中的冲突。虽然重复的配置项大多都在描述中说明了冲突的配置项哪一部分会最终起作用，但是让傻实在的计算机玩自相矛盾，恐怕会在

使用中出怪毛病。

一、计算机配置

1、软件设置这里面就一个项目——软件安装，

而且没有描述，因为要完全搞定这个问题足可以

写篇文章了，还不一定能给你整明白了。这里我只说明重要的几点内容如下：设置软件安装的属性对话框。使用本机或网络共享的UNC 路径设置软件安装包的位

置，以免每次添加软件包都要查找。安装用户界面选项设为基本就可以实现透明安装，用户

不会见到任何提示或设置窗口。截图如下：

右击软件安装，选择新建——程序包即可。当然你要先把软件安装包放到上面设置的路径下才行。包的格式必须是MSI 的，这是最困难和复杂的部分，这种包大多需要自己做，我发过制作五笔安装包的帖子，自己找找看吧。如果使用EXE 的文件需要写一个以“.zap”结尾的特殊格式的文本文件（网上有，自己搜），而且EXE 安装包还要支持静默模式，否则会弹出

设置对话框，那你就等着接用户的电话吧。

XP 的计算机需要启动两次才能够安装软件包，因为默认有登录优化设置。这里安装的软件包只在客户机上运行一次，而且可以供任何一个使用此计算机的用户使用。后面用户配置里还有一个软件安装，那里安装的就不一样了。注意，实践证明：如果在网络路径上存放安装包，要放到速度较快的服务器上，不然会出现找得到装不上的怪毛病。

2、Windows 设置（项目太多只说常用的）

项目：脚本（启动/关机）

此项目中可以放置Windows 系统能够运行的一切文件。我一般使用批处理或vbs 脚本，不要太复杂否则会拖慢系统启动速度。合理有效的使用这一功能，发挥你的想象，只有想不到没有做不到哦。举个简单的例子——自动添加网络打印机。使用记事本输入代码如下并保存为

vbs 脚本

On Error Resume Next

Set WshNetwork = WScript.CreateObject("work")

'Add the network printer 1 & 2

WshNetwork.AddwindowsPrinterConnection "\\printerserver\printer1"

WshNetwork.AddwindowsPrinterConnection "\\printerserver\printer2"

'Default printer1

WshNetwork.SetDefaultPrinter "\\printerserver\printer1"

注意：\\printerserver\printer1、\\printerserver\printer2 这种东东要换成你的打印

机共享路径。

放置方法如图所示：