1、什么是組策略？ 在 Windows? 2000 / Windows? Server 2003操作系統(tǒng)中，您（系統(tǒng)管理員）使用“組策略”為用戶和計算機(jī)組定義用戶和計算機(jī)配置。您通過使用“組策略”Microsoft 管理控制臺 (MMC) 管理單元為特定用戶和計算機(jī)組創(chuàng)建具體的桌面配置。所創(chuàng)建的“組策略”配置包含在一個“組策略對象”(GPO) 中，該對象轉(zhuǎn)而又與選定的 Active Directory? 服務(wù)容器如站點、域或組織單位 (OU) 等關(guān)聯(lián)。

2、組策略可以干什么？ 管理員使用組策略來為計算機(jī)和用戶組指定桌面配置的選項。組策略包括基于注冊表的策略設(shè)置、安全設(shè)置、軟件安裝、腳本和文件夾重定向。

使用“組策略”管理單元，您可以指定下列各項的策略設(shè)置：（1）基于注冊表的策略。包括 Windows? 2000 / Windows? Server 2003 操作系統(tǒng)及其組件以及應(yīng)用程序的組策略。要管理這些設(shè)置，您可以使用“組策略”管理單元的“管理模板”節(jié)點。（2）安全性選項。 包括針對本地計算機(jī)、域和網(wǎng)絡(luò)安全設(shè)置的選項。（3）軟件安裝和維護(hù)選項。用來集中管理應(yīng)用程序的安裝、更新和刪除。 （4）腳本選項。 包括用于計算機(jī)啟動和關(guān)閉，以及用戶登錄和注銷的腳本。（5）文件夾重定向選項。 允許您將用戶的特殊文件夾重定向到網(wǎng)絡(luò)。 使用組策略，您就可以對用戶工作環(huán)境狀態(tài)只定義一次，然后靠系統(tǒng)實施管理員定義的策略。本文將就以上內(nèi)容中比較常用的部分進(jìn)行介紹。

3、如何使用組策略安裝軟件？3.1; 在組策略編輯器中的位置 對計算機(jī)中的每個用戶：計算機(jī)配置→軟件設(shè)置→軟件安裝 對當(dāng)前登錄的用戶：用戶配置→軟件設(shè)置→軟件安裝

本節(jié)中描述的主要是使用較多的前一種情況。

3.2; 原理

在成員計算機(jī)重新啟動時，系統(tǒng)會自動檢測是否有組策略需要應(yīng)用。一旦發(fā)現(xiàn)當(dāng)前計算機(jī)或用戶的組策略結(jié)果集中指定了軟件安裝或升級，則成員計算機(jī)會自動從共享路徑安裝所指定的軟件。在整個過程中，我們需要做兩件事： （1）在域控制器上設(shè)置相應(yīng)的組策略 （2）重啟成員計算機(jī)，檢查軟件是否正確安裝3.3; 步驟和示例 我們以安裝LCSClient 為例，來說明使用組策略安裝軟件的過程 （1）拷貝安裝文件（MSI安裝包）到 在一臺成員機(jī)上（假設(shè)機(jī)器名為ComputerA），并為所在目錄設(shè)置共享（假設(shè)共享名為LCSClient），確保 everyone 可讀 （2）在域控制器上，從管理工具中打開 Active Directory 用戶和計算機(jī) （3）在打開的界面的左邊的樹中，找到所在的域，右鍵→新建→組織單位，輸入名稱（假設(shè)為 OUX） （4）右鍵 OUX ，屬性→組策略→新建，選中剛新建的組策略→編輯 （5）在打開的組策略編輯器中，選擇計算機(jī)設(shè)置→軟件設(shè)置→軟件安裝，右鍵 新建→程序包 （6）在選擇路經(jīng)的輸入框中，輸入 ComputerA.domainnameLcsClient (將domainname 替換位所在的域名)，打開，選擇Communicator.msi ，稍后此程序包會在列表中出現(xiàn)，關(guān)閉編輯器，回到 Active Directory 用戶和計算機(jī)界面 （7）將要安裝 LCSClient 的機(jī)器從 Computers（左樹） 里面移動到 OUX （8）完成，重啟OUX中的機(jī)器（可能需要重啟兩次），以測試安裝是否成功，如不成功，則查看所在機(jī)器的應(yīng)用程序日志，并記錄錯誤3.4; 部署過程中應(yīng)該注意的問題3.4.1; 區(qū)分計算機(jī)策略和用戶策略 組策略分為兩大類，計算機(jī)策略和用戶策略

計算機(jī)策略即對活動目錄中的計算機(jī)實施的策略。實施計算機(jī)策略時，必須將計算機(jī)加入需要實施策略的OU。

用戶策略即對活動目錄中的用戶桌面和配置實施的策略。對用戶實施策略時，必須將用戶加入需要實施策略的OU。

3.4.2使用計算機(jī)策略以避免用戶權(quán)限的問題。

一般來說，安裝軟件應(yīng)該使用計算機(jī)策略，以避免同一個軟件在一臺計算機(jī)上被安裝多次，以及因為用戶權(quán)限不夠?qū)е碌膯栴}。 比如說，用管理員分配的域帳號登錄到本地計算機(jī)時，可能是users 或者 power users 組權(quán)限，而很多的軟件安裝需要 administrator 組權(quán)限。使用計算機(jī)策略則不存在此問題，因為使用計算機(jī)策略會自動使用管理員帳號安裝。

3.4.3; 應(yīng)該對OU實施策略而不是整個域 一般來說，不推薦對整個域?qū)嵤┙M策略。如果你在所在的域上實施組策略，則無論是計算機(jī)策略還是用戶策略，都會被全部的成員機(jī)和用戶全部應(yīng)用。這通常會導(dǎo)致很多問題，比如，很多不應(yīng)該使用策略的計算機(jī)必須一一進(jìn)行排除。 強(qiáng)烈推薦將您可能需要實施組策略的用戶移至一個單獨的OU中，將可能需要實施組策略的計算機(jī)移至另一個單獨的OU中。并對上述兩個OU按照組織機(jī)構(gòu)進(jìn)行單獨的分組。這樣，您可以對你的用戶和計算機(jī)分別實施用戶策略和計算機(jī)策略。3.4.4; 發(fā)布的軟件所處的共享目錄的位置 使用組策略發(fā)布軟件時，軟件所在的共享目錄，最好位于同一個域內(nèi)的成員機(jī)上。并保證此機(jī)器開放共享、共享文件夾的訪問權(quán)限飽含everyone 的讀權(quán)限。域控制器的安全設(shè)置比成員機(jī)復(fù)雜的多，可能會導(dǎo)致無法共享目錄。 在新建組策略>>選擇安裝包時，瀏覽安裝包應(yīng)該通過 computername.domainnamesharefolder的方式，在實際實施的過程中，這是最保險的方式（對比 IPsharefolder 和 computernamesharefolder 的方式）。3.4.5; 不應(yīng)刪除或者替換已經(jīng)發(fā)布的軟件安裝包

凡是發(fā)布在共享目錄里的軟件（尤其是MSI安裝包）應(yīng)該盡量予以保留，而不應(yīng)該被替換，否則可能帶來更新和配置上的問題。某些沒有更新到最新版本的軟件仍然會去舊的位置檢索MSI安裝包來進(jìn)行配置，一旦那個位置的安裝保不存在或者被不同版本的文件替換，將導(dǎo)致配置失敗，無法使用。 3.4.6刪除策略中的安裝 刪除策略里的安裝包時，應(yīng)選擇 “允許用戶繼續(xù)使用軟件，但禁止新的安裝”，除非你確實要將軟件從已經(jīng)安裝了的機(jī)器上卸載。 刪除安裝的時候，最好不要刪除安裝相關(guān)的安裝包，這通常也會導(dǎo)致問題。有關(guān)此問題，請參見：3.4.5 3.4.7讓OU使用已有的策略 幾個OU可以共用一個策略，方法是在OU>>屬性>>組策略>>添加 里找到相應(yīng)的策略鏈接上去 3.4.8為什么某些成員機(jī)需要重啟2次以上才會應(yīng)用組策略 這種情況主要發(fā)生在安裝 windows xp 的機(jī)器上，windows xp 的本地策略中有一條策略是“啟用快速登錄優(yōu)化”，此策略默認(rèn)是啟動狀態(tài)，并且會影響組策略的了立即執(zhí)行。 我們可以在組策略中設(shè)置 計算機(jī)設(shè)置>>管理模板>>系統(tǒng)登錄中將策略“計算機(jī)啟動和登錄時總是等待網(wǎng)絡(luò)”啟用，以禁用成員機(jī)的登錄優(yōu)化。3.5; 常見錯誤3.5.1; 產(chǎn)品的安裝來源無法使用 安裝失敗，應(yīng)用程序日志中記錄了事件ID為108的錯誤日志，詳細(xì)的日志信息：未能將改動應(yīng)用于軟件安裝設(shè)置。 無法應(yīng)用軟件更改。應(yīng)該有詳細(xì)的日志記錄。; 錯誤是: 這個產(chǎn)品的安裝來源無法使用。請驗證來源是否存在，是否可以訪問。 導(dǎo)致次錯誤的原因是成員機(jī)無法訪問軟件所在的共享目錄。請參考3.3.4 節(jié)進(jìn)行處理3.5.2在同步前臺策略刷新時，組策略框架應(yīng)該調(diào)用擴(kuò)展 安裝失敗，應(yīng)用程序日志中記錄了事件ID為108的錯誤日志，詳細(xì)的日志信息：未能將改動應(yīng)用于軟件安裝設(shè)置。 軟件安裝策略應(yīng)用被推遲到下一次登錄，因為管理員為組策略啟用了登錄優(yōu)化。; 錯誤是: 在同步前臺策略刷新時，組策略框架應(yīng)該調(diào)用擴(kuò)展。 導(dǎo)致次錯誤的原因是winxp 默認(rèn)啟動了登錄優(yōu)化，請參考3.3.8 節(jié)進(jìn)行處理。4、如何使用組策略定義用戶和計算機(jī)配置 本節(jié)假定您已經(jīng)知道如何為域或者OU新建和添加策略，如何區(qū)分策略中的計算機(jī)配置和用戶配置，而且目前你已經(jīng)打開了組策略編輯器。4.1 賬戶和密碼策略設(shè)置 我們使用 活動目錄來管理 用戶和計算機(jī)，當(dāng)然是為了實現(xiàn)我們的管理目的，比如構(gòu)建一個安全的網(wǎng)絡(luò)環(huán)境。賬戶和密碼的安全也是其中一個重要的部分，通常，管理員可以定義本地計算機(jī)的賬戶和密碼策略，但是，為每一臺計算機(jī)定義相同的策略，無疑會浪費很多的時間。使用組策略，您可以輕松的定義整個活動目錄用戶的賬號和密碼策略。4.1.1在組策略編輯器中的位置 計算機(jī)配置→Windows設(shè)置→安全設(shè)置→賬戶策略4.1.2作用 可以設(shè)置成員機(jī)的帳號和密碼策略 （1）密碼復(fù)雜度 （2）密碼長度最小值 （3）密碼過期期限 （4）強(qiáng)制密碼歷史的個數(shù)—更改密碼時，不能使用的過去使用過的密碼的個數(shù)4.2;用戶IE設(shè)置 對于企業(yè)來說，定制用戶的 IE 設(shè)置也是一件羅嗦但必要的事情。通常，我們可能會需要更改用戶的IE安全設(shè)置，或者為用戶設(shè)置代理服務(wù)器等等。使用組策略，可以完成大部分的配置工作。4.2.1在組策略編輯器中的位置 用戶配置>>Windows設(shè)置>>Internet Explorer 維護(hù)4.2.2作用 可以對用戶的IE選項進(jìn)行設(shè)置 （1）瀏覽器用戶界面：標(biāo)題、徽標(biāo)、工具欄 （2）連接：連接模式和代理服務(wù)器設(shè)置 （3）URL：主頁、搜索頁、收藏夾內(nèi)容等 （4）安全：內(nèi)容分級設(shè)置、區(qū)域設(shè)置、驗證設(shè)置 （5）程序：設(shè)置電子郵件、日歷、新聞組等使用的程序 （6）高級：企業(yè)設(shè)置、Internet設(shè)置 更詳細(xì)的設(shè)置，請參看相關(guān)的幫助。5、 參考資源;Windows 2000組策略介紹http://www.microsoft.com/china/windows2000/library/howitworks/management/grouppolicyintro.asp組策略設(shè)計必備知識概要http://www.microsoft.com/china/technet/prodtechnol/windows2000serv/plan/gpdesout.asp

使用組策略對象設(shè)置 Internet Explorer 中的高級設(shè)置

http://support.microsoft.com/default.aspx?scid=kb;zh-cn;274846

如何向組策略安全組添加計算機(jī)和用戶

http://www.microsoft.com/china/technet/security/guidance/secmod189.mspx