第18章WindowsServer2003组策略应用.docx

《第18章WindowsServer2003组策略应用.docx》由会员分享，可在线阅读，更多相关《第18章WindowsServer2003组策略应用.docx（63页珍藏版）》请在三一办公上搜索。

1、第18章 Windows Server 2003中组策略应用作为一个网络管理员，我们希望有一种方便的、灵活的方法可以控制整个公司的员工的用户桌面环境，可以给用户安装他们所需要的软件而不用您亲自一台一台地去安装。在Windows Server 2003中提供了这种方便灵活地实现方法组策略。尤其是在域模式的情况下，应用组策略可以提供更加方便灵活的功能。18.1创建和配置组策略18.1.1 组策略简介组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件，例如，用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。要为特定用户组创建特殊的桌面配置，请使用组策略对象编辑器。您指定的组策略设置包

2、含在组策略对象中，而组策略对象又与选定的 Active Directory 对象（即站点、域或组织单位）相关联。组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何其他 Microsoft Windows 2003 计算机。默认情况下，应用于域的组策略会影响域中的所有计算机和用户。“Active Directory 用户和计算机”还提供内置的“Domain Controllers”组织单位。如果将域控制器帐户保存在那里，则可以使用组策略对象“Default Domain Controllers Policy”将域控制器与其他计算机分开管理。组策略包括影响用户的“

3、用户配置”策略设置和影响计算机的“计算机配置”策略设置。使用组策略可执行以下任务：l 通过“管理模板”管理基于注册表的策略。组策略创建了一个包含注册表设置的文件，这些注册表设置写入注册表数据库的“User”或“Local Machine”部分。登录到给定工作站或服务器的用户的特定用户配置文件写在注册表的 HKEY_CURRENT_USER (HKCU) 下，而计算机特定设置写在 HKEY_LOCAL_MACHINE (HKLM) 下。 l 指派脚本。包括计算机的启动、关闭、登录和注销等脚本。 l 重定向文件夹。可以将文件夹（如 我的文档s 和 My Pictures）从本地计算机上的 Docu

4、ments and Settings 文件夹中重定向到网络位置上。l 管理应用程序。使用组策略，可以通过“组策略软件安装”来指派、发布、更新或修复应用程序。l 指定安全选项。组策略对象策略设置存储在组策略对象中。可以将组策略对象编辑器看作一个应用程序，它的文档类型是组策略对象，就象文字处理程序使用 .doc 或 .txt 文件那样。有两种组策略对象：本地和非本地。本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象，而且它拥有在非本地组策略对象中可用的设置的一个子集。如果二者的设置发生冲突，则非本地组策略对象的设置会覆盖本地组策略对象的设置；如果不冲突，则都可以应用。存储

5、在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们会应用到与组策略对象相关联的站点、域或组织单位中的用户和计算机。默认情况下，安装Active Directory时，会创建两个非本地组策略对象： “Default Domain Policy”与域链接，它通过策略继承影响域中的所有用户和计算机（包括作为域控制器的计算机）。“Default Domain Controllers Policy”与“Domain Controllers”组织单位链接，它通常只影响域控制器，因为域控制器的计算机帐户单独保存在“Domain Controllers”组织单位中。 组策略权

6、限默认情况下，只有域管理员、企业管理员、组策略生成器所有者和操作系统才可以创建新的组策略对象。如果域管理员希望非管理员或组能够创建组策略对象，则可以将该用户或组添加到 Group Policy Creator Owners 安全组中。当不是管理员、但身为 Group Policy Creator Owners 组成员的用户创建组策略对象时，该用户即成为该组策略对象的创建者和所有者；因此，该用户可以编辑该组策略对象。成为 Group Policy Creator Owners 组的成员后，用户只能完全控制自己所创建的组策略对象（该组策略对象已明确委派给该用户）。非管理员用户对于域中任何其他组策略

7、对象都没有额外的权利 这些用户对于别人创建的组策略对象并没有权利。如表18-1描述了组策略对象上的默认权限。表181 组策略对象上的默认权限安全组默认设置 Authenticated Users读取、应用组策略 (AGP) Local System完全控制（包含 AGP） Domain administrators读取、写入、创建子组策略对象、删除子组策略对象、AGP Administrators读取、写入、创建子组策略对象、AGP Group Policy Creator Owners读取、写入、AGP默认情况下，任何管理员都无法删除组策略对象“Default Domain Policy”。

8、这种限制的目的在于防止意外删除该组策略对象，它包含该域的重要和必要设置。如果因为某种原因必须删除“Default Domain Policy”，则必须明确地向相应的组授予“删除”权限。这是组策略对象上的高级访问控制项 (ACE)。下面简要介绍几个标准权限：默认情况下，GPO给予域管理员组，企业管理员组、组策略创建拥有者组和系统组中的成员，除“采用组策略”以外的权限。这意味着这四个组能编辑GPO，但包含在GPO中的策略不能应用在他们身上。l 应用组策略：在标准组策略对象权限中还有一条就是应用组策略，如果哪个用户被赋予了这个权限和读取权限，那么这条组策略将对该帐号起作用。l 如果已经将域和企业管理

9、小组设为对某组策略无应用权限，那么即使其中的小组成员被授予应用权限，由于拒绝权限总是优先于允许权限，所以，小组成员依然选用被拒绝应用组策略权限。l 删除组策略权限：这个权限较易理解，那就是谁删除本条组策略的权限，谁就能删除一条组策略。l 安全子页中的高级选项中的特殊权限，审核及所有者概念上均与以前讲的组织单位的安全页一致，只是要搞清楚这里的“安全”页设置针对的是GPO就不会出问题。策略继承一般情况下，域中的组策略会从父容器传递到子容器。但是组策略不会从父域继承到子域，例如，从创建地组策略不会继承到 。如果为一个高级别的父容器指派特定的组策略设置，则该组策略将应用到该父容器下的所有容器，包括每个

10、容器中的用户和计算机对象。但是，如果您为某个子容器明确指定了组策略设置，则该子容器的组策略设置将覆盖父容器的设置。如果父组织单位具有未配置的策略设置，则子组织单位将不会继承这些设置。禁用的策略设置被继承之后还是禁用的。此外，如果父组织单位已经配置了一个策略设置（启用或禁用），而子组织单位并未配置同一策略设置，则子组织单位会继承父组织单位的启用或禁用的策略设置。如果应用到父组织单位的策略设置与应用到子组织单位的策略设置兼容，则子组织单位会继承父组织单位的策略设置，而且还会应用子组织单位的策略设置。如果为父组织单位配置的策略设置与为子组织单位配置的同一策略设置不兼容（因为在某种情况下设置是启用的，

11、而在另一种情况下设置是禁用的），子组织单位就不继承父组织单位的策略设置。这时会应用子组织单位中的设置。阻止继承可以在域或组织单位级别阻止策略继承，方法是打开域或组织单位的属性对话框，并选中“阻止策略继承”复选框。阻止继承的两个局限：1 “阻止策略继承”无法选择阻止哪个上级组织单位的GPO，要阻止，就都阻止。2 如果上级组织单位的一条GPO设为“禁止替代”，子组织单位此时再选阻止继承就不能阻止这条上级组织单位的GPO继承到子组织单位。如果这条“禁止替代”的上级GPO被链接到子组织单位中，那么也阻止不了它起作用。强迫继承可以强迫策略继承，方法是在组策略对象链接上设置“禁止替代”选项。选中“禁止替代

12、”复选框后，就会强迫所有子策略容器继承父策略，即使这些策略与子策略相冲突，或者即使已为子容器设置了“阻止继承”选项。可以在组策略对象链接上设置“禁止替代”选项，方法是打开站点、域或组织单位的属性对话框，并选中“禁止替代”复选框。注意：设置为“禁止替代”的策略并不能被阻止。 18.1.2创建一个组策略对于组策略来说，我们一般通过将组策略对象链接到Active Directory对象（站点、域或组织单位），可以应用基于Active Directory的组策略。“用户配置”下的组策略设置应用到用户，“计算机配置”下的组策略设置应用到计算机。下面我们就以组织单位为例来讲解如何创建一个组策略。步骤：1.

13、 登录域控制器，打开“Active Directory 用户和计算机”，在“Active Directory 用户和计算机”中，选择想要设置组策略的组织单位，单击鼠标右键，选择“属性”。2. 在弹出的页面中单击“组策略”选项卡（如图18-1）图18-1 组织单位的属性页中的组策略项3. 此时组策略链接栏中是空的，因为尚未创建组策略。此时，只有新建和添加两按钮是黑的，其它接钮均为灰色。下面分别就这几个按钮介绍组策略的结构。“新建”按钮按“新建”按钮可以创建新的组策略对象，也称GPO（Group policy object）。在一个活动目录容器下可以创建多条组策略，按最右边的“向上和向下”键，可以

14、调整组策略的顺序，而组策略在执行时，它会按从下到上的顺序一条一条执行。4. 点“新建”按钮，出现（如图18-2）所示。图18-2 新建组策略对象此时你可以输入这个组策略对象的描述，如“技术部员工”对你所创建策略的一个概况性的描述。如果不输入任何文字，用鼠标直接点“新建组策略对象”，其余几个按钮如编辑、选项、删除、属性均亮起来，只有“向上、向下”还是灰色的。（如图18-3）图18-3 选中组策略后的画面 “添加”按钮GPO即组策略对象和站点，域以及组织单无可以连接在一起，建立这种连接之后，GPO的设置将应用在站点，域或组织单元内的用户和计算机上。那么怎样连接呢？这就要用到“添加”键。下面介绍组策

15、略的连接。步骤：1单击“添加”按钮。将弹出如图18-4所示的“添加组策略对象链接”界面。图18-4添加组策略对象链接出现的页面中又有三个子页，这三个子页分别提供了三个范围，一个是域/组织单位，第二个是站点，第三个是全部。我们在“查找范围”中选择整个域，如图185。现以“缺省的域策略”为例，我们在“域/组织单位”项上选中“default domain policy”，并点“确定”。出现（如图18-6）所示的情况，在“组策略对象链接”栏中出现了“default domain policy”图185 添加组策略对象链接图18-6添加“default domain policy”到组织单位其实，添加组

16、策略链接使创建组策略的工作方便了，否则就要一个一个策略的创建并设置，其工作量太大了。注意：管理员可以将GPO和多个站点，域以及组织单元链接，这为不同站点、域以及组织单元的计算机和用户配置相同的组策略提供了可能。也可以将多个GPO和单个站点、域以及组织单元链接。管理员不能将GPO和默认的活动目录容器-计算机、用户和Builtin（内置组）相连，因为它们不是组织单位。“编辑”按钮1. 选中一条组策略对象，然后选“编辑”按钮。（如图18-7）图18-7 打开一条组策略对象2. 可以看到一条组策略由两部分组成：一部分是针对计算机的设置，另一部分是针对用户的设置，其中具体的设置方法后续章节会详细介绍。“

17、选项”按钮1. 在组策略项中选中一条组策略对象。2. 按“选项”按钮。3. 出现（如图18-8）所示页面。图18-8 组策略对象的选项4. 组策略选项中共有两个多选框，下面分别介绍它们。l 禁止替代：如果你相让一条组策略对象绝对地应用于此组织单位，而不受别的组策略对象的限制，就选这个复选框。换句话说，当这条组策略对象的设置与别的本组织单位中的其它组策略对象发生冲突时，其它组策略对象的设置不起作用，所以重要的GPO要选“禁止替代”。当不止一个组策略链接设为不重写时，并且连接的GPO全应用于同一个容器中时，如果其中包括冲突的设置，那么，在活动目录中最高层的GPO优先起作用。l 已禁用：表明选中的组

18、策略对象对这个组织单位不起作用。“禁止替代”和“已禁用”都是针对某一组策略对象而言，而组策略对象又对组织单位中的用户和计算机起作用。在学习活动目录组策略的过程中，由于内容较新，新概念又多，一定要明确哪些菜单，哪些选项对什么目标起作用，否则东西一多就容易混淆。“选项”按钮旁边还有一个“删除”按钮，选中某GPO后，点“删除”即可将它删除；这一功能很简单，就不单用一节来讲解。“属性”按钮1. 在组织单位属性页的组策略子页中，选中一组策略，然后点“属性”按钮。2. 将弹出如图18-9所示的页面。图18-9 组策略的属性组策略的属性由四个页面组成；下面分别介绍：1常规：常规中的摘要栏提供了这条组策略对象

19、的一些信息，如创建的时间、修改的时间等。各项设置对组织单位中的用户和计算机起作用，如果你只想对计算机起作用或只想对用户起作用，就可以在禁用复选框中选中要禁用的那一项。这种做法可以提高域控制器在活动目录中查找组策略时的性能。原因也很简单，因为域控制器在应用组策略时是一项一项查对其中的设置，如果禁用了计算机或用户设置，那么就不用再费时间去遍历每一项设置，因此，禁用此组策略对象的不用部分可以提高性能。2链接：如图18-10。图18-10 组策略对象属性项中的链接项这一页面的作用是让使用者查到此条组策略对象存在的位置，是站点还是域？还是某个组织单元？先选择域的范围，然后点“立即查找”，过一会儿，在“发

20、现站点或部门”栏就可以列出本条组策略对象所在位置（如图18-11）。图18-11 查找组策略对象的位置3“安全”子页首先要明确这个安全项是针对某一条组策略对象的，不要将这里的权限与组织单位属性页上的“安全”子页混淆。如图18-12就是安全页的外观。图18-12安全项Windows Server 2003中的各种安全页形式上都一样，都是上面是用户或组，下栏是标准权限，都有高级选项，只不过权限的应用对象不同，以及权限的内容不同。l 要想有创建GPO的权限，Windows Server 2003中默认的情况是：只有系统帐户以及域管理员、企业管理员，GPO创建拥有者小组的成员才可创建GPO。GPO创建

21、拥有者小组的意思是如果一个帐户是某GPO的所有者，那么与他同组的帐户也拥有创建GPO的权限。如果让一非管理人员小组来创建GPO，就必须把该人员或小组添加到组策略拥有者的安全小组中。l 编辑GPO，要想能编辑某个GPO，用户必须拥有访问该GPO的读写权限。l 过滤GPO作用域：GPO内的策略只适用于那些对该GPO有读取权限的用户，用这种办法可以实现过滤GPO的功能。方法是通过取消某帐户对GPO的权限来防止对特定组使用策略。表 18-1 权限与GPO的应用结果GPO作用域选择权限结果GPO应用到该组读取+采用组策略 均为allow该GPO适用于该组成员，除非有一个其他组（也包含该组用户）将读取或采

22、用组策略设为deny在该GPO中删除该组读取+采用组策略 均为 deny不论这些成员在其他组中有何权限，该GPO不适用与该组不论GPO是否使用，该安全组的成员都无关读取+采用组策略 均不设置除非该组成员同时又属于另一组，且这个组对GPO有读取+采用组策略 均为allow，那该组成员将应用该组策略；否则，该组成员不应用该组策略。4WMI筛选可利用WMI筛选器指定一个基于WMI的查询，如图1813。以筛选组策略对象的应用。WMI筛选器是用WMI查询语言(WQL)编写的。WMI筛选器只适用于运行Windows XP Professional、Windows XP 64-Bit Edition和Win

23、dows Server 2003操作系统的客户端计算机。Windows 2000客户端计算机会忽略与组策略对象相关的WMI筛选器。图1813 WMI筛选管理员可以用WMI筛选器来指定基于WMI的查询，这样就能对组策略对象的效果进行筛选，并可对异常事件进行管理。18.1.3组策略权限委派委派组策略对象的创建权限将一个非管理员帐户（要求有本地登录权限）加入组策略创建拥有者小组后，他就能创建GPO了。1打开 Active Directory 用户和计算机。 2单击控制台树中的“Users”。 3在详细信息窗格的“名称”列中，在“Group Policy Creator Owners”上单击鼠标右键，

24、选择“属性”。也可以双击“Group Policy Creator Owners”。如图1814图1814 属性4在“Group Policy Creator Owners 属性”对话框中，单击“成员”选项卡。如图1815。图1815 Group Policy Creator Owners 属性5单击“添加”，然后输入要向其委派创建权限的用户或安全组的名称，然后单击“确定”，返回“成员”选项卡窗口。如图1816。单击“确定”完成委派组策略对象的创建权限。图1816 成员委派组策略对象的编辑权限1在MMC控制台中，单击“添加/删除管理单元”，在添加独立管理单元。打开“组策略对象编辑器”，如图18

25、17。在弹出的“选择组策略对象”页面中单击“浏览”按钮，如图1818，在弹出的“浏览组策略对象”页面，单击“全部”选项卡，选择刚才创建的“技术部员工”组策略，如图1819。图1817 添加独立管理单元图1818 选择组策略对象图1819 选择技术部员工组策略2在控制台树中，右键单击组策略对象的图标或名称，然后单击“属性”。如图1820。图1820 属性3要添加用户或用户组，请单击“安全”选项卡，然后单击“添加”，如图1821。输入用户名或用户组名，然后单击“确定”。如图1822。我们可以在“安全”选项卡中看到新添加的用户，如图1823。图1821 安全选项卡图1822 用户图1823 安全4然

26、后赋予此用户或组对组策略对象的编辑权限，请在“许斌辉的权限”中，选中与要赋予的权限相对应的复选框。完成操作后，请单击“确定”。如图1824。图1824 安全设置 5完成操作后，单击“确定”。委派组策略对象的链接权限1打开 Active Directory 用户和计算机。 2右键单击要向其委派链接组策略对象权限的组织单位，然后单击“委派控制”如图1825。图1825 委派控制3在控制委派向导中，单击“下一步”，然后单击“添加”。如图1826。图1826 用户和组4在“选择用户、计算机或组”对话框中，输入要选择的对象名称，然后依次单击“确定”返回，然后“下一步”。如图1827。图1827 添加用户

27、和组5在“要委派的任务”页中的“委派下列常见任务”中，选中“管理组策略链接”复选框，然后单击“下一步”。如图1828。图1828 委派任务6单击“完成”。如图1829。图1829 完成18.1.4 解决组策略之间的冲突当发生冲突时，默认是执行最新的设置。新添加的组策略都是在下方，所以组策略是按由下向上的顺序执行。如果一条策略中的计算机设置与用户设置冲突，那么计算机设置优先于用户设置。组策略是积累的，除非2个或几个组策略之间发生冲突，否则所有组策略都将影响用户和计算机。当发生冲突时，活动目录按照如下的原则确定执行哪个组策略设置：l 来自父容器的GPO设置如果和子容器的GPO设置冲突，子容器的设置

28、优先执行。l 同一组织单位上的不同GPO冲突，低位置的优先执行。注意：组策略设置优先于用户配置文件设置。18.2 设置组策略管理用户环境使用组策略设置，可定义用户桌面环境的配置。打开“组策略对象编辑器”，我们可以看到所有的组策略都包括“计算机配置”和“用户配置”这两个设置项。如图1830。而且从菜单上可以看出，不管是计算机配置还是用户配置，下面都有三个子层：“软件设置”，“Windows 设置”和“管理模板”。下面我们将分别介绍这些项目。图1830 组策略18.2.1组策略设置的结构软件设置：“计算机配置软件设置”文件夹包含适用于登录到该计算机的所有用户的软件设置。该文件夹包含软件安装设置，并

29、可能包含由独立软件供应商放置在该文件夹中的其他设置。“用户配置软件设置”文件夹包含无论用户登录到哪台计算机均适用的软件设置。该文件夹还包含软件安装设置，并可能包含由独立软件供应商放置在该文件夹中的其他设置。这里面的主要功能我们将在后面专门介绍这一部分的内容。（如图18-31）图18-31软件设置Windows设置计算机配置Windows 设置文件夹包含适用于登录到该计算机上的所有用户的 Windows 设置。该文件夹还包含如下项目：“安全设置”和“脚本”。用户配置Windows 设置文件夹包含不论用户登录到哪台计算机均适用的 Windows 设置。该文件夹还包含如下项目：“远程安装服务”，“I

30、nternet Explorer维护”“文件夹重定向”、“安全设置”和“脚本”。（如图18-32）图18-32 Windows设置管理模板管理模板主要解决用户环境的问题。这些文件夹包含注册表设置。计算机配置中的管理模板有Windows组件、系统、网络、打印机；而用户配置中有Windows组件、系统、网络，还有与计算机配置不同的桌面和控制面板及任务栏和开始菜单。（如图18-33）图18-33 管理模板18.2.2 计算机配置中的Windows设置脚本（启动/关闭）组策略脚本设置可以集中配置脚本，在计算机启动、关闭时自动运行。可以指定在Windows Server 2003上运行任何脚本，包括批处

31、理文件，可执行程序等。有了脚本，受GPO作用的计算机开启并进入操作系统后，将自动运行这个脚本程序来完成管理员想完成的工作。（如图18-34）图18-34 脚本安全设置安全设置下面有帐户策略、本地策略、事件日志、无限制的组、系统服务、注册表、文件系统、公钥策略、IP安全策略这九个子树，将所有子树展开后，如图18-35。18-35 展开的安全设置安全设置中的每条设置都对组织单位中的计算机起作用。18.2.3 管理模板计算机配置中的管理模板主要控制计算机桌面的外观和行为。（如图18-36）图18-36 计算机配置中的管理模板管理模板下有Windows组件、系统和网络三个子树以及打印机共四个组件，其中

32、三个子树下又有分类。windows组件首先看一看Windows组件，这里规定了一些操作系统自带的组件，如IE、Netmeeting、任务计划等。如图1837。图1837 windows组件系统子树系统子树下又有用户配置文件、脚本、登录、磁盘配额、网络登录、组策略、远程协助、系统还原、错误报告功能、Windows文件保护、远程过程调用以及Windows时间服务这些子树。（如图18-38）图18-38 系统子树和其他策略一样，当你一点左边的容器时，右边的策略栏中就会列出相应的数条策略，右击这些策略，点属性，就可以启用它们，如果你不太清楚这条策略的具体用途，你可以选“说明”页。（如图18-39）图1

33、8-39 说明页网络子树展开网络树，发现里面有五项，分别是DNS客户端、脱机文件、网络连接、QoS数据包计划程序、SNMP。（如图18-40）图18-40 网络子树打印机选中打印机子树后，右边策略栏中出现各种和打印机相关的策略。（如图18-41）图18-41 打印机策略18.2.4 用户配置中的Windows设置在这里的Windows设置与计算机设置不太相同。它含有IE维护、脚本、安全设置、远程安装服务和文件夹重定向这五个子树。（如图18-42）图18-42 用户配置中的Windows设置IE维护子树这个子树下的选项基本上与IE的选项页面对应，一但在组策略中设定好，用户不管从哪台计算机登录，只

34、要在组策略起作用的范围内，其IE就自动被赋予策略定义的内容。脚本脚本的用法在计算机配置中已讲过，这里不再多讲，只是用户配置中的脚本是在用户登录和注销时运行，而在计算机和配置中是启动和关闭时起作用。安全设置用户配置中的安全设置要比计算机配置中的简单许多，如图1843。图1843安全设置远程安装服务这个策略规定了用户在进行RIS安装时，客户安装向导运行期间，用户可以使用的选项设置。单击“远程安装服务”，右边策略栏中只有一个选项选择，双击出现图18-44。图18-44选择选项属性。文件夹重定向这个功能是一个较为重要的功能。它可以将用户常用的文件夹，如我的文档，应用程序数据，桌面和开始菜单，重定向到网

35、络中某台机器的某个共享文件夹内。这样不管用户从什么机器上登录，都可以访问自己的文件夹。而且文件夹集中存储，也便于管理和备份。还有，由于文件集中在服务器上，也便于保密。18.2.5用户配置中的管理模板用户配置中的管理模板下有六个一级子树，分别是：Windows 组件、任务栏和开始菜单、桌面、控制面板、网络和系统。管理模板主要是控制用户环境的，这一点与计算机配置相同。但它又比计算机配置中的管理模板内容丰富。Windows 组件比计算机配置中多出Windows资源管理器，MMC控制台，那么我们以资源管理器为例，看一看它都有什么策略。（如图18-45）18-45资源管理器策略任务栏和开始菜单管理模板中

36、的第二个子树就是任务栏和开始菜单。这里的策略主要是控制任务栏和开始菜单中的各种环境，前面已做过删除“注销”项的实验。这里不再讲述，这个子树是用户配置特有的。（如图18-46）图18-46 任务栏和开始菜单的策略桌面这个子树中还有两个子树，一个是活动桌面，一个是Active directory，而桌面本身也包含一些策略。（如图18-47）图18-47 桌面策略这个策略是用户配置中独有的，可以规定用户桌面环境如“隐藏网络邻居”图标。控制面板这个子树中的设置对用户对控制面板的操作做出了规定，如是否禁用控制面板。（如图18-48）图18-48 控制面板策略网络子树网络子树在计算机配置中也有，但如果你仔

37、细查看，会发现其中的策略并不一致。网络下面有两个子树，一个是脱机文件夹，一个是网络连接。虽然计算机配置中也是有这两项，但它们中的策略的控制范围不同。（如图18-49，18-49）图18-48 用户配置中的脱机文件夹的策略图18-49 用户配置中的网络连接策略系统子树用户配置中的系统子树中有用户配置文件、脚本、CtrlAltDel选项、登录、组策略和电源管理六个二级子树，比计算机配置中少。（如图18-50）图18-50 系统18.3 使用组策略管理软件利用Windows Server 2003的这个软件配置功能，可以结合组策略集中地从一个地方管理软件布置过程。换句话说，其目的就是让某组织单位中的

38、计算机和用户从一台服务器上得到一个软件，而公司的管理人员不用将这个软件一台一台机器地安装，而是采用集中发放的方法，这样就大大提高了安装一个软件的效率。尤其当网络中计算机很多，而公司又需在每台机器上都安装统一的软件的时候。18.3.1 软件布置的步骤准备阶段首先应准备一个文件，以便能用组策略布置。你应将这个应用程序拷贝到一个软件分布点，这个地点可能是一个共享文件夹。这个软件不是一般的应用程序，必须是由软件供应商那里获得的Windows安装程序表文件，如表18-2。表18-2 “软件安装”中常见文件类型文件类型文件扩展名描述 Windows Installer 程序包 .msi 软件供应商通常会提

39、供这些文件，以便简化特定应用程序的安装。请将这些文件与其他所有必要的文件一起保存在您所管理的软件的软件分发点。 转换 .mst 也叫作修改，这些文件在指派或发布时会自定义 Windows Installer 程序包的安装。例如，它们可能会指定应用程序套件的子集。 修补程序 .msp错误修复、Service Pack 以及类似的文件都可以用这种形式分发。修补程序不应该用于主要的更改，其作用限制如下： 无法删除组件或功能。 无法更改产品代码。 无法删除或更改快捷方式、文件或注册表项的名称。.zap 文件 .zap 这些文件是用文本编辑器（如记事本）创建的。它们只能被发布（不能被指派），而且它们为在

40、本地计算机上具有管理权限的用户指定一个可执行安装程序，该程序出现在控制面板的“添加或删除程序”中。 注意：正确使用 .zap 文件语法中的引号可能比较困难。可以应用下列规则： 可执行安装程序的路径和名称必须始终用引号引起来。 如果没有命令行参数，则必须用两个引号引起来。 使用绝对路径的语法示例：SetupCommand=ServerNameShareNameFolderNamesetup.exeSetupCommand=ServerNameShareNameFolderNamesetup.exe /argument应用程序指派脚本 .aas使用相对路径的语法示例：SetupCommand=se

41、tup.exeSetupCommand=setup.exe /argumentWindows安装技术的优点有：l 有弹性的应用程序：如果一个关键的文件被删除或遭到破坏，应用程序自动返回源文件所在地获取文件拷贝，而不用用户干预。l 干净地删除：可以干净地卸载，不留下残留文件。布置阶段管理员实际上是通过组策略将软件安装到所在组织单位中的计算机上或用户所使用的计算机上。实际上软件是在计算机启动时或用户激活应用程序时安装。维护阶段如果软件版本升级了或打了补丁，那么管理员就应将升级的软件或补丁及时发布给相应的用户，所以维护软件更新也是一项日常工作，而用组策略就是再方便不过的方法了。而且用组策略还有一种好

42、处，那就是不用通知用户，因为他只要一启动机器就会自动安装。删除阶段如果一个软件不再希望用户使用，就需要删除它，还是通过组策略进行这个工作。总之，在域中组策略为用户统一安装、升级、卸载软件提供了方便。18.3.2 发布和分配软件用组策略统一给客户端安装软件，其形式有2种：一个是发布，另一个是分配（或称指派）。所有被设定为发布的软件都需要用户用控制面板中的“添加/删除程序”来安装。换句话说，这个软件已经是可用的，但安装与否的权利掌握在用户手中，用户要安装就手工地添加这个应用程序；否则，就不装。可以只给用户而不给计算机发布软件，因为用户必须手动安装发布的软件。那么换言之，只能将软件发布给用户，而不给

43、计算机。这一原则将来大家在设置组策略是应注意。可以将软件分配给用户和计算机。分配软件确保用户需要的所有应用程序都安装到他们的计算机上。用户下一次登录时，无须手工安装，而是一登录，软件就自动从远程安装到客户机上。就象我们平时在本地装一个软件一样，安装完后用户也会看到桌面图标，在开始菜单程序中也能看到程序快捷方式。通过分配软件，可以确保：1. 软件对用户可用，而当用户在一台没有Excel的计算机上启动一个使用Excel的文件时，当用户激活文件后，Excel就自动安装到那台计算机上，这叫文档激活方法安装，在分布软件时也可用这种方法。2. 同发布一样，软件是有弹性的，即如果缺少哪些文件，当用户下次登录

44、并激活应用程序时，将重新安装。3. 当管理员给用户分配软件时，软件将出现在用户桌面上，但在用户双击其图标或与应用程序关联的文件类型（文档激活方法）前，安装不会开始。4. 在计算机配置过程中，通过给计算机分配软件，在计算机启动后，软件被自动安装。这是与用户配置中的软件设置的不同之处。通过分配软件给计算机，可确保相应的应用程序在那台计算机上总是可用的。但如果计算机是一个域控制器，分配软件给计算机将不起作用。但分配软件给用户会起作用。18.3.3 配置软件布置软件设置的配置主要通过两个属性页进行，一个是软件安装属性页，另一个是具体软件安装包的属性页。软件安装属性步骤：1展开用户配置中的软件配置子树。

45、2右击软件安装选属性，出现图18-51。图18-51 软件安装属性页常规页新增程序包栏是控制新建程序包布置方式的，缺省情况下是“显示对话框”给管理员，以供管理人员选择。如不选“显示对话框”，而选其他的，如发行或指派，那么管理员每次新建程序包时就不提示用户而直接把程序包布置成指定选项。下面还有一个安装用户界面选项，缺省是基本的。它指示出用户在客户端安装软件时所出现的界面是什么样的，一般用“基本的”就可以了。在最上端还有一个默认程序包位置，如果在此指定一个软件安装包所在目录，那么每次创建新的程序包时，都进入这个指定目录中。文件名扩展前面曾经讲过，安装程序包在被布置到客户端后有几种情况，不管是被发布

46、还是被分配，都有一种触发安装的方法，那就是用关联文件扩展名，即用文档激活的方法。前面也曾用Excel文档举过例子，这个子页的主要作用是管理员可以控制哪个应用程序可先和文件扩展名关联，并在文档激活过程中打开或安装。例如，你的组织既要安装Excel 97又要安Excel2000，当这两个应用程序都用.xls扩展名，那么当用户激活一个.xls文档时将安装哪个Excel呢？答案是：谁的优选级高就先安谁。（如图18-52）图18-52 文件扩展名管理员可以在扩展名一栏中选一扩展名，如.xls，那么下方的“应用程序优先权”一栏中就会出现与之关联的软件安装包，用“向上向下”键来调整优先级即可。类别软件安装包的功能是各种各样的，当软件安装包太多时，用户很难从众多软件中找到自己所需要的软件包，那么最好的办法就是将各种各样的软件安装包分类。在“添加/删除程序”中，选中“添加新程序”，大家会看到右侧有一个“类别”选项。当管理员在服务器端做出了设置后，各种类别名称就会出现在这个选项中，用户可以很方便地通过选择软件的种类而快速找到自己的目标。类别的主要作用就是对软件分类，以便于查找。添加类别的步骤：1右击“软件安装”，选择“属性”。2在弹出的“软件安装属性”窗口中选“类别”选项卡，选“添加”，出现一个简单的对话框，在对话框中输入类别的