Windows Server 2012R2 组策略

Windows Server 2012R2 组策略

一、什么是组策略

组策略（GroupPolicy）是Microsoft Windows系统管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。

二、为什么需要组策略

注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

三、组策略的两种配置

Ø计算机配置：

当计算机开机时，系统会根据计算机配置的内容来设置计算机环境。包括桌面

外观、安全设置、应用程序分配和计算机启动和关机脚本运行等。

Ø用户配置：

当用户登录时，系统会根据用户配置的内容来设置计算机环境。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。

四、组策略类型

Ø域内的组策略：（优先级从上到下依次降低）

域内的策略会被应用到域内的所有计算机和用户

1. 站点策略

2. 域策略

3. 组织单元策略

Ø本地计算机策略：

1. 计算机配置只会应用在此计算机

2. 用户策略将应用到在此计算机登录的所有用户

五、计算机本地策略本地计算机组策略控制台

1.计算机配置实例1.1.不显示关机理由

1.2.账号密码策略

1.3.账户锁定策略

1.4.用户权限分配

1.5.安全选项

2.用户配置实例

2.1.删除“开始”菜单中的“运行”

运行取消成功

2.2.将“控制面板”中的“Windows防火墙”隐藏起来

六、组策略对象（GPO）

Ø组策略有继承性、累加性

Ø当组策略有冲突时，则以处理顺序在后的GPO为优先，而系统处理GPO的顺序是：站点GPO→域→组织单位的GPO→本地计算机策略最低。

Ø计算机配置优于用户配置

Ø多个配置应用到同一处，排在前面的组策略优先

1.组策略管理

AD DS中两个内置GPO 第一个是默认域控制器策略第二个是默认域策略

2.策略设置与首选项设置

！策略设置是强制的，首选项设置是非强制的

！策略设置针对整个GPO来过滤，首选项设置可针对单一项目来过滤！策略设置优先首选项设置

！应用首选项设置须安装CSE软件

3.计算机配置的应用时限

Ø计算机配置的应用时限

ü计算机开机时

ü计算机开机后，域控制器每5分钟自动应用一次

ü计算机开机后，非域控制器每90－120分钟自动应用一次

ü计算机开机后，系统每16小时自动运行一次

ü手动应用

Ø用户配置的应用时限

ü用户登录时会自动应用

ü用户登录后，系统每90－120分钟自动应用一次，系统每16小时自动运

行一次

ü手动应用

4.计算机配置实例

4.1.允许普通用户在域控制器登陆

依次是

账户管理员、

管理员（必须添加）、备份管理员、

打印管理员、

服务管理员、

用户

应用后更新

4.2.设置密码策略

4.3.账户锁定策略

4.4.Windows防火墙设置

计算机配置→策略→管理模板→网络→网络连接→Windows 防火墙→域配置文件

4.5.时间提供程序

4.6.禁止安装可移动设备

计算机配置→策略→管理模板→系统→设备安装→设备安装限制

5.用户配置实例

要求指定用户只能通过企业内的代理服务器上网新建Internet设置（按你IE版本来选）

注意下面的虚线，代表着配置了没有更新

按F5进行更新后确认

应用确定

禁用用户IE浏览器自动配置设置

域用户测试

更新策略（已经登陆了域用户打cmd命令更新，没有的在登陆时会自动更新）

测试成功

6.使用组策略发布软件

Ø将软件分配给用户：

当将一个软件通过组策略分配给域内的用户后，则用户在域内的任何一台计算机登录时，这个软件都会被“通告”给该用户，但这个软件并没有真正的被安装，而只是安装了与这个软件有关的部分信息。只有在以下两种情况下，这个软件才会被自动安装：

1. 开始运行此软件：例如用户登录后执行操作：“开始”→“控制界面”→“添加或删除程序”→“添加程序”单击该软件的快捷方式，或是双击桌面上的快捷方式后，就会自动安装此软件。

2. 利用“文件启动”功能：例如假设这个被“通告”的程序为Microsoft Excel，当用户登录后，他的计算机会自动将扩展名为.xls的文件与Microsoft Excel关联在一起，此时用户只要双击扩展名为.xls的文件，系统就会自动安装Microsoft Excel。Ø将软件分配给计算机：

当将一个软件通过组策略分配给域内的计算机后，在这些计算机启动时，这个软

件就会自动安装在这些计算机里，而且是安装到公用程序组内，也就是安装到Documents and Settings\All Users文件夹内。任何用户登录后，都可以使用此软

件。

6.1.自动修复软件

一个被发布或分配的软件，在安装完成后，如果此软件程序内有关键的文件损坏、遗失或被用户不小心删除，系统会自动探测到此不正常现象，并且会自动修复、重新安装此软件。

6.2.准备工作

步骤1：在服务器上创建共享文件夹把文件夹共享出来，确保组策略会影响到的各

用户对目录至少具有读的权限。

步骤2：在客户端测试是否可以正常访问共享文件夹。

步骤3：准备合适的被部署软件，把软件拷贝到共享文件夹下，可以根据需要建立

子文件夹。组策略对被部署的软件有一定的要求，通常是MSI文件，如果是EXE

文件，请按照后面小节介绍的方法打包。

6.3.实训项目