??? (2)計算機(jī)配置:腳本、安全設(shè)置
??? 用戶配置:IE 維護(hù)、腳本、安全設(shè)置、遠(yuǎn)程安裝服務(wù)、文件夾重定向
??????????? (3)管理模板-解決用戶環(huán)境的問題
?????????????? 計算機(jī)配置:Windows 組件、系統(tǒng)、網(wǎng)絡(luò)、打印機(jī)
??? 用戶配置:Windows 組件、系統(tǒng)、網(wǎng)絡(luò)、桌面、控制面板、任務(wù)欄和開始菜單
??? 3.2.1 計算機(jī)配置中的 Windows 配置
??? 1.添加腳本
??? 組策略腳本設(shè)置的功能是可以集中配置腳本,在計算機(jī)啟動或關(guān)閉時, 自動運(yùn)行。指定在 Windows 2003 上運(yùn)行任何腳本,包括批處理文件、可執(zhí) 行程序等。如果同時添加多個腳本,則 Windows 2003 按照從上到下的順序 執(zhí)行;如果多個腳本之間有沖突,則最后處理的腳本有效。配置步驟如下:
???? 1) 打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
???? 2) 計算機(jī)配置-Windows 設(shè)置-腳本-右擊“啟動”-單擊“添加”
??? 3) 單擊“瀏覽” ,選定要運(yùn)行的腳本或可執(zhí)行文件
??? 2.計算機(jī)中的安全設(shè)置
??? 安全設(shè)置包括:帳號策略、本地策略、事件日志、無限制的組、系統(tǒng) 務(wù)、注冊表、文件系統(tǒng)、公鑰策略、IP 安全策略。配置步驟如下:
??? (1) 打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
??? (2)計算機(jī)配置-Windows 設(shè)置-安全設(shè)置-右擊 “登錄屏幕不要顯示上次 登錄的用戶名”
??? (3) 選擇“安全性”-選中“定義這個策略設(shè)置”和“已啟用”
??? 3.2.2 計算機(jī)配置中的管理模板
??? (1)計算機(jī)配置中的管理模板-控制計算機(jī)桌面的外觀和行為
??? 管理模板包括:Windows 組件、系統(tǒng)、網(wǎng)絡(luò)。Windows 組件中規(guī)定了 一些操作系統(tǒng)自帶的組件,如:IE、Netmeeting、 若任務(wù)計劃等。
??? (2)設(shè)置 Windows 組件。步驟如下:
??? 1) 控制面板-任務(wù)計劃-添加一個任務(wù)計劃
??? 2) 打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
??? 3) 計算機(jī)配置-管理模板-Windows 組件-選中“任務(wù)計劃程序”項
??? 4) 右擊“禁用‘創(chuàng)建新任務(wù)’ ”-選擇“屬性”-在“策略”選項卡中選 中“啟用”
??? 管理模板是基于注冊表的策略。在計算機(jī)和用戶配置中都可以設(shè)置管 理模板的內(nèi)容。管理模板是組策略中可以使用的對系統(tǒng)進(jìn)行管理最靈活的一種手段。
??? 3.2.3 網(wǎng)絡(luò)子樹
??? 網(wǎng)絡(luò)子樹包括:脫機(jī)文件(處理與脫機(jī)文件夾有關(guān)的事項);網(wǎng)絡(luò)及撥號連接
??? 禁用網(wǎng)絡(luò)連接共享。配置步驟如下:
??? (1)新建一個撥號連接,設(shè)置共享
??? (2)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
??? (2)計算機(jī)配置-管理模板-網(wǎng)絡(luò)-網(wǎng)絡(luò)及撥號連接
??? (4)右擊“允許連接共享”-選中“禁用”
??? 3.2.4用戶配置中的 Windows 配置
??? Windows 配置中包括:IE 維護(hù)、腳本、安全設(shè)置、遠(yuǎn)程安裝服務(wù)、文 件夾重定向
??? (1)用用戶策略中的 IE 維護(hù)為用戶指定默認(rèn)主頁。步驟如下:
??? 1) 打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
???? 2) 用戶配置-Windows 設(shè)置-IE 維護(hù)-URL
???? 3) 右擊“重要 URL”-選擇“屬性”-選中“自定義主頁 URL” -輸入網(wǎng)址
??? 3.2.5 文件夾重定向
??? 重定向文件夾。步驟如下:
??? 1) 用戶配置-Windows 設(shè)置-文件夾重定向-右擊“My Document”子樹-選擇“屬性”
??? 2) 在“目標(biāo)”選項卡中,選擇“基本” ,來為每個用戶在服務(wù)器上 建立一個個人文件夾,文件夾名即用戶名
??? 3) 在目標(biāo)文件夾的位置輸入路徑:\\服務(wù)器名\共享文件夾名\%用 戶名%
??? 4) 在“設(shè)置”選項卡中設(shè)置:只有用戶和系統(tǒng)能夠訪問該文件夾 文件夾重定向的功能:將用戶常用的文件夾重定向到網(wǎng)絡(luò)中的某臺服 務(wù)器的共享文件夾中。對用戶最終的效果是:無論用戶在那一臺計算機(jī)上 打開它自己的這些文件夾,看到的都是相同的內(nèi)容。需要注意的是,文件 夾重定向只是重定向用戶自己創(chuàng)建的數(shù)據(jù)文檔,而不會把系統(tǒng)數(shù)據(jù)重定向 到網(wǎng)絡(luò)服務(wù)器上。
??? 3.2.6用戶配置中的管理模板-控制用戶環(huán)境
??? 用戶配置的管理模板包含:Windows 組件、任務(wù)欄和開始菜單、桌面、控制面板、網(wǎng)絡(luò)、系統(tǒng)。
??? 資源管理器中的策略(使資源管理器中的文件夾選項消失)
??? 1) 打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
??? 2) 用戶配置-管理面板-Windows 組件-Windows 資源管理器
??? 3) 右擊“從‘工具’菜單中刪除‘文件夾選項’菜單” ,選擇“啟 用”任務(wù)欄和開始菜單-控制任務(wù)欄和開始菜單中的各種環(huán)境
??? 3.3 使用組策略管理軟件
??? 管理和維護(hù)軟件可能使大多數(shù)管理員都要面對的,客戶經(jīng)常會問管理 員他使用的軟件為什么不能使用了、新軟件如何安裝。怎么進(jìn)行軟件升級 等。 利用 Windows server2003 的軟件分發(fā)功能可以很輕松的實現(xiàn)這些需求, 這位我們的管理工作帶來了極大的方便。軟件分發(fā)是指通過組策略讓用戶 或計算機(jī)自動進(jìn)行軟件的安裝、更新或卸載。
??? 在 Windows server2003 中,可以通過使用一個站點、域、組織單元內(nèi) 的用戶和計算機(jī)的組策略設(shè)置,來為這個站點、域、組織單元的用戶和計 算機(jī)自動安裝、升級或刪除軟件。
??? 3.3.1 軟件布置(安裝和維護(hù))的步驟
??? (1)準(zhǔn)備階段
???? 準(zhǔn)備一個文件, 以便一個應(yīng)用程序能用組策略布置。 為完成這個, 應(yīng)將用于應(yīng)用程序的 Windows 安裝程序包文件(*.msi *.zap)復(fù)制到 一個軟件分布點,它可能是一個共享文件夾或服務(wù)器。
??? (2)布置階段
??? 管理員創(chuàng)建一個在計算機(jī)上安裝軟件并將 GPO 鏈接到相應(yīng)的活 動類別容器內(nèi)的組策略對象(GPO) 。實際上,軟件是在計算機(jī)啟動 或用戶激活應(yīng)用程序時安裝。
??? (3)維護(hù)階段
??? 用新版本的軟件升級軟件或用一個補(bǔ)丁包來重新布置軟件。當(dāng)計 算機(jī)啟動時或用戶激活應(yīng)用程序時將自動升級或重新布置軟件。
??? (4)刪除階段
??? 為刪除不再使用的軟件,從開始布置軟件的 GPO 中刪除軟件包 設(shè)置。當(dāng)計算機(jī)啟動或用戶登錄時軟件將被自動刪除。
??? 3.3.2發(fā)布和分配軟件
??? 用組策略統(tǒng)一給客戶端安裝軟件,有兩種形式:發(fā)布、分配(指派)發(fā)布和分配軟件,所有發(fā)布的軟件都需要用控制面板中的“添加/刪除程序”工具來安裝;也可以通過文檔激活自動安裝。只能將軟件發(fā)布給用戶,而不給計算機(jī)。
??? 分配軟件可以將軟件分配用戶和計算機(jī)。通過分配軟件,可以確保:
??? (1)軟件對用戶總是可用的。 可以采用文檔激活方法安裝, 如使用 Word、 Excel 等應(yīng)用程序的用戶。
??? (2)軟件是有彈性的。如果缺少某些文件,當(dāng)用戶下次登錄并激活應(yīng)用 程序時,將重新安裝。
??? (3)當(dāng)給用戶分配軟件時,軟件將出現(xiàn)在用戶的桌面上,但是在用戶雙 擊其圖標(biāo)或打開與應(yīng)用程序關(guān)聯(lián)的文件之前,安裝不會開始。
??? (4)當(dāng)給計算機(jī)分配軟件時,在計算機(jī)啟動時,軟件將被自動安裝。
??? 注:如果計算機(jī)是一個域控制器,分配軟件給計算機(jī)將不起作用。
??? 3.3.3 用組策略布置軟件包
??? 用組策略布置軟件包(以用戶配置中的軟件設(shè)置為例)。步驟如下:
??? 1)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
??? 2)用戶配置-軟件設(shè)置-右擊“軟件安裝”-選擇“新建”-單擊“程序 包” 3)選擇安裝程序包(*.msi *.zap)-單擊“打開”
??? 4)選擇布置方法為“已發(fā)行”
??? 5)再選擇另一個安裝程序包,選擇布置方法為“已指派”
??? 6)在域中另一臺計算機(jī)上登錄,控制面板-添加/刪除程序-添加新程序 注:該安裝程序包所在目錄必須是共享的,客戶機(jī)一定要指向 DNS。
??? 參考文獻(xiàn):
??? [1]袁津生的計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),人民郵電出版社,2008
??? [2]許治坤的網(wǎng)絡(luò)滲透技術(shù),電子工業(yè)出版社,
??? [3]加瑞特(譯者范曉燕)的用戶體驗的要素,機(jī)械工業(yè)出版社 2008,1
??? [4]劉彥博譯的高性能網(wǎng)站建設(shè)指南,電子工業(yè)出版社,2008
?