Windows Server 2008 AD架构-第05部分 组策略(GPO)在windows server 2008中的应用

组策略对象 (GPO)
和策略设置的注释
网络位置感知 首选项
组策略服务 事件和日志记录 多个本地组策略对象 查找特定的管理模板策略设置
• ADMX和ADM文件
管理模板文件包含用于描述基于注册表的组策略的标
记语言。管理模板文件在 Microsoft® Windows NT Server® 4.0 操作系统中首次发布，当时使用唯一的 文件格式，称为 ADM 文件。在 Windows Server 2008 中，这些文件被替换为基于 XML 的文件格式， 称为 ADMX 文件。
将ZAP文件与EXE安装文件放置到统一目录下 选择“ZAW早期版本应用程序数据包” 注意：安装的对象只能是使用者，并且使用ZAP方式
安装程序时必须具备管理员权限。
• 定制应用程序
定制Office
Hale Waihona Puke Baidu
2007安装包
2007安装包，
定制一个可自动进行安装和设置的Office
该安装包可实现如下功能：
• 注册表是Windows程序员建造的一个复杂的信
息数据库，它是多层次式的。在不同系统上注册 表的基本结构相同。其中的复杂数据会在不同方 式上结合，从而产生出一个绝对唯一的注册表。
的配置。当然，组策略使用了更完善的管理组织 方法，可以对各种对象中的设置进行管理和配置， 远比手工修改注册表方便、灵活，功能也更加强 大。
路径—打开—已分配—启动时自动安装
径—打开—已发布—添加删除安装软件
用户配置—软件设置—软件安装—新建—数据包—路
创建ZAP文件格式来发布EXE安装文件 [Application] Friendlyname=”acdsee” Setupcommand=”acdsee.exe” DisplayVersion=10.0 Publisher=ACDSEE [ext] Exe=
HKEY_USERS:包括默认用户的信息和所有以前登录用 HKEY_CURRENT_CONFIG:与
HKEY_LOCAL_MACHINE/CONFIG/0001分支下的数 据完全一样
• 导出导入注册表文件
• 注册表的安全控制
组策略概述
• 组策略的功能
“组策略”其实与“组”并没有关系，它是一组策略
的格式和关联信息，主要记录不同文件的文件名后缀 和对应的应用程序。 信息，保证不同用户登录计算机时使用自己的修改化 设置。
HKEY_CURRENT_USER:记录当前登录用户的配置文件
HKEY_LOCAL_MACHINE:记录当前计算机的配置信息，
包括所安装的硬件以及软件的设置，这些信息是为所 有的用户登录系统服务的。这是整个注册表中最庞大 也是最重要的根键。 户的信息。
创建软件分发点 包含有用来分发软件的包文件所在的共享文件夹，创
建分发点要发布或分配的计算机程序，必须在发布服 务器上创建一个发布点。 exe文件，分配文件夹权限
以管理员登录并创建共享，放入msi文件和可执行的 创建组策略对象 设置组策略与链接组策略对象 计算机配置—软件设置—软件安装—新建—数据包—

客户端扩展组件CSE
获取和处理指向他们的组策略，采用动态链接库的形 式存在。
组策略编辑器组件GPE
是一个MMC管理单元，用于创建和管理GPO
计算机策略和用户策略组件
组策略对象链接GPO
LINK
• 组策略可以用来实现
对域设置组策略影响整个域的工作环境，对OU设置组
策略影响本OU下的工作环境；降低布置用户和计算机 环境的总费用，因为只需要设置一次，相应的用户或 计算机即可全部使用规定的设置，减少用户不正确配 置环境的可能性；推行公司使用计算机规范，包括桌 面环境规范以及安全策略等内容。例如：
该新格式包括多语言支持、可选的集中式数据存储以
及版本控制功能。在 Windows Server 2008 中， ADMX 文件被分为中性语言资源和特定语言资源，面 向所有组策略管理员提供。这些因素允许组策略工具 根据管理员的配置语言调整它们的用户界面。通过确 保具备相应的特定语言资源，可以向一组策略定义中 添加一种新的语言。 Windows Server 2008 管理工作站中创建了一个组策略对象 (GPO)。他保存此 GPO 并将其链接到跨地理边界部署 的域。巴黎的同事使用 GPMC 浏览同一域并选择使用 英语创建的 GPO。她可以使用法语查看和编辑该策略 设置。创建此 GPO 的原始组策略管理员仍将使用他的 本地语言（英语）查看所有设置，包括法国管理员更 改的内容。
默认GPO：
当Windows Server 2008 域刚建好时，默认有2个 GPO 。一个是Default Domain Policy（默认域策 略），另一个是Default Domain Controller Policy （默认域控制器策略）。默认域策略影响域中所有的 计算机和用户。默认域控制器策略影响组织单位 Domain Controllers 中的所有计算机和用户。
例如，组策略管理员从配置为英语的
ADMX和旧的ADM格式最大的区别 ADMX采用了XML标准来表述注册表策略的设置，编
辑XML的工具远多于编辑ADM语法的工具，其次由于 XML是架构化的，因此最终会比较容易构建一些工具 来帮助你在正确的位置上放置正确的标记，进而创建 结构良好的ADMX文件。
MCITP-活动目录(12)
• Windows 2008中的组策略
组策略管理重点
• Windows server 2008注册表
• 组策略概述
• 组策略的创建与配置
• 安全策略管理
• 使用组策略定制用户环境 • 定制并发布应用程序 • 组策略在企业中的其它应用
Windows server 2008注册表
• 使用组策略删除不在使用的软件
的集合。组策略加强了管理员通过活动目录数据库在 站点、域、或组织单位中配置用户和计算机的能力， 在Windows Server 2008 中，通过应用组策略，管理 员可以很方便地管理Active Directory 中的计算机和 用户的工作环境，例如，用户桌面环境、计算机启动/ 关机与用户登陆/注销时所执行的脚本文件、软件安装、 安全设置等。
1. 2.
安装过程无需手动输入序列号和选择组件，可完全 自动化地安装全部组件 安装后可自动升级到SP2，并安装 SaveAsPDForXPS插件
3.
安装后自动对Office应用进行定制化配置
使用OCT工具对Office2007原始安装包进行定制 OCT工具是Office2007安装包中自带的一个用于定制
其实简单地说，组策略设置就是在修改注册表中的配
组策略内包含计算机配置与用户配置两部分，其中计
算机配置只对计算机环境有影响，而用户配置只对使 用者工作环境有影响。管理员可用过如下两个途径配 置和应用组策略：
本地计算机策略 在单一计算机上配置，用户所作的配置只会应用到本
地计算机，用户配置被本机所有用户所应用。
1)软件分发 2)软件限制
3)安全设置（如密码策略、管理模板下相关设置等） 4)基于注册表的设置（管理模板） 5)IE维护 6)脱机文件夹 7)漫游配置文件和文件夹重定向 8)计算机和用户脚本
• Windows Server 2008中组策略的新特性和变
化
新的策略管理类别 工作方式的变化 Starter GPO
• 注册表是windows系统中保存系统、应用软件配
置的数据库，随着系统不同版本里的功能越来越 丰富，注册表里的配置项目也越来越多，很多配 置都是可以自定义设置的，但这些配置发布在注 册表的各个角落，如果是手工配置就会非常困难 和繁杂。 置模块，供管理人员直接使用，从而达到方便管 理计算机的目的。
• 而组策略则将系统重要的配置功能汇集成各种配
6定制用户连接到的网络驱动器 7配置用户桌面选项 8配置开始菜单和任务栏选项 9配置用户控制面板选项 10配置windows组件选项 11配置用户系统选项 12限制使用迅雷进行恶意下载
定制并发布应用程序
• 用组策略实现软件分发
MSI文件与windows
MSI是windows
组策略的创建与配置
• 创建组策略
• 编辑组策略
安全策略管理
• 账户策略
• 审核策略
• 设备限制安全策略
使用组策略定制用户环境
• “组策略管理编辑器”包括“计算机配置”和
“用户配置”，分别针对于编辑所属组织单位中 的“计算机对象”和“用户对象”。
• 1 gpupdate/force强制刷新策略 • 2修改IE浏览器的标题 • 3自定义主页 • 4修改Windows防火墙设置 • 5取消密码复杂性的要求
管理员一般会设置多种配置集合，包括桌面配置和安
全配置。譬如，可以为特定用户或用户组定制可用的 程序、桌面上的内容，以及“开始”菜单选项等，也 可以在整个计算机范围内创建特殊的桌面配置。简而 言之，组策略是Windows中的一套系统更改和配置管 理工具的集合。 置。当然，组策略使用了更完善的管理组织方法，可 以对各种对象中的设置进行管理和配置，远比手工修 改注册表方便、灵活，功能也更加强大。
域组策略GPO 在域控制器上针对站点，域或OU来配置组策略，其中
域策略内的配置应用到所有域内计算机和用户上，OU 对应到该OU内，如果本机冲突则以域或OU组策略的 配置优先，本机无效。
• 组策略的组件
组策略的具体设置数据保存在GPO（Group
Policy Objec，组策略对象）中，被视为Active Directory中 的一种特殊形象，可以将GPO和活动目录的容器（站 点、域和OU）连接起来，以影响容器中的计算机和用 户。组策略是通过使用组策略对象来进行管理的。
• 其实简单地说，组策略设置就是在修改注册表中
• 计算机配置和缺省用户设置的注册表数据在
Winnt中被保存在下面这几个文件中：
DEFAULT，SAM，SECURITY，SOFTWARE， SYSTEM，NTUSER.DAT
• 注册表的结构
HKEY_CLASSES_ROOT:记录操作系统中所有数据文件
安装过程的工具，它集成于Office2007的Setup.exe程 序中。打开C盘根目录下的Office2007文件夹，在该文 件中的空白区域里，按住Shift键单击鼠标右键，选择 在弹出的菜单中单击【在此处打开命令窗口】 /admin
在弹出的命令窗口中输入setup.exe ………… 发布需要从“高级”
SDOU（Site、Domain、Organizationl
Unit）
GPO 用来保存组策略，必须进一步指定GPO 所链接 的对象，才能将组策略应用到指定的对象。GPO只能 链接至Active Directory 的站点、域或组织单位。站 点、域与组织单位，统称为SDOU ，即为活动目录的 容器，容器中包含的用户和计算机这两种活动目录对 象，受组策略的控制。
GPO（组策略容器）与GPT（组策略模板） GPC：GPC
是包含 GPO 属性和版本信息的活动目录。 例如：单击“属性”，即可看到默认域策略的版本信 息。 GPT：GPT 在域控制器的共享系统卷（SYSVOL）中， 是一种文件夹层次结构。当创建一个 GPO 时，就相应 地创建 GPT 文件夹的层次结构。GPT包含所有的组策 略设置和信息，如管理模板、安全性、软件安装、脚 本等。GPT 文件夹的名称是创建的GPO的全局唯一标 识（GUID）。GPT默认路径在域控制器的 %systemroot%\SYSVOL\sysvol 中。
installer
installer的数据包，是实现软件分发 功能所必要(ZAP)的文件格式，通常包含了安装内置程 序所要的环境信息和安装或卸载时需要的指令与数据。
优点：易实现 缺点：功能简单、兼容性差（只能分发windows安装
程序包——.msi，.exe封装的程序安装包要用 Advanced Installer重新封装成msi文件）