域網(wǎng)絡(luò)構(gòu)建教程（4）組策略古人云：運(yùn)籌帷幄之中，決勝千里之外。這大概就是用兵的最高境界了吧！ 作為一個生于和平年代的網(wǎng)絡(luò)管理人員，這輩子帶兵是沒戲了。不過在域環(huán)境的幫助下，這 個決勝千里的最高境界努力

域網(wǎng)絡(luò)構(gòu)建教程（4）組策略

古人云：運(yùn)籌帷幄之中，決勝千里之外。這大概就是用兵的最高境界了吧！ 作為一個生于和平年代的網(wǎng)絡(luò)管理人員，這輩子帶兵是沒戲了。不過在域環(huán)境的幫助下，這 個決勝千里的最高境界努力一下倒是可以體會體會的。所借助的神兵利器就是——組策略。 實(shí)際上組策略的設(shè)置工具在我們常用的 XP 系統(tǒng)上一直存在，通過在運(yùn)行欄中輸入 gpedit.msc 就可以啟動本地計(jì)算機(jī)的組策略編輯器。截圖如下：

馬馬虎虎的講我們可以把組策略編輯器看作是微軟提供的一個圖形化的注冊表編輯器，所見 即所得一直都是微軟的看家本領(lǐng)啊。 有了域環(huán)境之后，通過使用相關(guān)管理工具在域控制器上設(shè)置組策略就可以實(shí)現(xiàn)對所有加入域 中的用戶和計(jì)算機(jī)的管理與控制。在實(shí)際使用中，我感覺這種管理與控制幾乎覆蓋了使用中 的方方面面，反正現(xiàn)在我只要在域控制器上動動手指頭，就可以讓全校的網(wǎng)絡(luò)環(huán)境產(chǎn)生天翻 地覆的變化——比如讓所有人都無法使用計(jì)算機(jī)。理論上這是完全可以實(shí)現(xiàn)的，有興趣的可 以在看完本文后自己實(shí)踐一下（后果自負(fù)

哈）。

閑話少說，書歸正傳。按前文所講我們已經(jīng)具備了使用組策略統(tǒng)一管控用戶和計(jì)算機(jī)的域環(huán) 境?，F(xiàn)在在域控制器上打開組策略編輯器，注意這里不能使用 gpedit.msc （那是編輯本機(jī) 策略的），而要打開“開始——程序——管理工具——Active Directory 用戶和計(jì)算機(jī)”。

截圖如下：

在打開的窗口中選擇你的域名，并在其上右擊選擇屬性，然后在彈出的屬性對話框中選擇組

策略?，F(xiàn)在你就會看到默認(rèn)域策略——Default Domain Policy，截圖如下：

單擊編輯按鈕就可以打開組策略編輯器。更改其中的選項(xiàng)就會對所有加入域中的用戶和計(jì)算 機(jī)產(chǎn)生影響。這是因?yàn)橛?jì)算機(jī)啟動以及用戶登錄時都會查詢域控制器并使用這里的組策略設(shè) 置。不過建議大家一般不要改動默認(rèn)域策略——Default Domain Policy，這樣便于我們隨

時恢復(fù)到系統(tǒng)默認(rèn)的設(shè)置。呵呵，留條出迷宮的路，是所有操作前的必修課。

默認(rèn)的不讓動，那我們怎么編輯組策略呢？答案就是通過組織單位上次我們在建立 用戶和計(jì)算機(jī)時就已經(jīng)新建了兩個組織單位——全部用戶和全部計(jì)算機(jī)，注意組織單位將是 一個我們經(jīng)常使用的劃分方式，組策略可以按層次模式很好的在其上運(yùn)行，這樣也便于對今 后一定會日趨復(fù)雜的組策略進(jìn)行有效的管理。 注意這里我提到了層次模式，組策略是可以按層次逐級繼承的。這不但可以使策略設(shè)置簡潔 明了，出了問題還便于排查錯誤。 為了演

示這種層次模式，我新建一個名為“用戶和計(jì)算機(jī)”的組織單位，并將原來的兩個組

織單位移入其中。截圖如下：

現(xiàn)在打開“用戶和計(jì)算機(jī)”組織單位的屬性對話框，并進(jìn)入組策略編輯界面，新建一個作用 于該組織單位的組策略對象并命名為——通用策略（當(dāng)然你也可以其別的名字）。截圖如下：

下面讓我們與組策略近距離親密接觸一下。別害怕只是接觸一下，看看我們都可以對最終用

戶施放那些魔法和大招。進(jìn)入編輯模式，截圖如下：

組策略分為兩大部分：計(jì)算機(jī)配置和用戶配置，這也是為什么我建立兩個組織單位分別放置 用戶和計(jì)算機(jī)，這樣設(shè)置起來比較清楚。當(dāng)然你要想難得糊涂，放一起我也不攔著。 配置給計(jì)算機(jī)還是用戶有什么區(qū)別呢？首先計(jì)算機(jī)配置應(yīng)用于計(jì)算機(jī)（看起來象廢話哈）， 因此對所有使用計(jì)算機(jī)的用戶都起作用；其次計(jì)算機(jī)配置所使用的權(quán)限是系統(tǒng)級的（這里的 權(quán)限是指的配置被應(yīng)用到計(jì)算機(jī)上時用到的權(quán)限），就是說 Administrator 賬戶能做的它都 能做（這句不理解沒關(guān)系，記住它接著往下看）。而用戶配置是針對我們在域控制器上建立 的用戶，就是說不管用戶使用哪臺計(jì)算機(jī)它都產(chǎn)生作用。已經(jīng)被繞蒙了的同志聽我通俗的說 一下：計(jì)算機(jī)配置跟著機(jī)器走，誰用都這樣；用戶配置跟著人走，用誰都這樣。再不懂那啥?? 別難為自己換個活干干吧！呵呵！ 以后再看到這兩部分中有重復(fù)的就明白是怎么回事了吧！當(dāng)然還要注意設(shè)置的時候，盡量不 要引起使用中的沖突。雖然重復(fù)的配置項(xiàng)大多都在描述中說明了沖突的配置項(xiàng)哪一部分會最 終起作用，但是讓傻實(shí)在的計(jì)算機(jī)玩自相矛盾，恐怕會在

使用中出怪毛病。

一、計(jì)算機(jī)配置

1、軟件設(shè)置 這里面就一個項(xiàng)目——軟件安裝，

而且沒有描述，因?yàn)橐耆愣ㄟ@個問題足可以

寫篇文章了，還不一定能給你整明白了。這里我只說明重要的幾點(diǎn)內(nèi)容如下： 設(shè)置軟件安裝的屬性對話框。使用本機(jī)或網(wǎng)絡(luò)共享的 UNC 路徑設(shè)置軟件安裝包的位

置，以免每次添加軟件包都要查找。安裝用戶界面選項(xiàng)設(shè)為基本就可以實(shí)現(xiàn)透明安裝，用戶

不會見到任何提示或設(shè)置窗口。截圖如下：

右擊軟件安裝，選擇新建——程序包即可。當(dāng)然你要先把軟件安裝包放到上面設(shè)置的路徑下 才行。包的格式必須是 MSI 的，這是最困難和復(fù)雜的部分，這種包大多需要自己做，我發(fā)過 制作五筆安裝包的帖子，自己找找看吧。如果使用 EXE 的文件需要寫一個以“.zap ”結(jié)尾的 特殊格式的文本文件（網(wǎng)上有，自己搜），而且 EXE 安裝包還要支持靜默模式，否則會彈出

設(shè)置對話框，那你就等著接用戶的電話吧。

XP 的計(jì)算機(jī)需要啟動兩次才能夠安裝軟件包，因?yàn)槟J(rèn)有登錄優(yōu)化設(shè)置。 這里安裝的軟件包只在客戶機(jī)上運(yùn)行一次，而且可以供任何一個使用此計(jì)算機(jī)的用戶使用。 后面用戶配置里還有一個軟件安裝，那里安裝的就不一樣了。 注意，實(shí)踐證明：如果在網(wǎng)絡(luò)路徑上存放安裝

包，要放到速度較快的服務(wù)器上，不然會出現(xiàn) 找得到裝不上的怪毛病。

2、Windows 設(shè)置（項(xiàng)目太多只說常用的）

項(xiàng)目：腳本（啟動/關(guān)機(jī)）

此項(xiàng)目中可以放置 Windows 系統(tǒng)能夠運(yùn)行的一切文件。我一般使用批處理或 vbs 腳本，不要 太復(fù)雜否則會拖慢系統(tǒng)啟動速度。合理有效的使用這一功能，發(fā)揮你的想象，只有想不到?jīng)] 有做不到哦。舉個簡單的例子——自動添加網(wǎng)絡(luò)打印機(jī)。使用記事本輸入代碼如下并保存為

vbs 腳本

On Error Resume Next

Set WshNetwork = WScript.CreateObject("WScript.Network")

'Add the network printer 1 & 2

WshNetwork.AddwindowsPrinterConnection "printerserverprinter1"

WshNetwork.AddwindowsPrinterConnection "printerserverprinter2"

'Default printer1

WshNetwork.SetDefaultPrinter "printerserverprinter1"

注意：printerserverprinter1、printerserverprinter2 這種東東要換成你的打印

機(jī)共享路徑。

放置方法如圖所示：

這樣，用戶不需要做任何設(shè)置就可以直接打印了。

啟動里的腳本是在開機(jī)時執(zhí)行，關(guān)機(jī)里的腳本是在關(guān)機(jī)時執(zhí)行，其他設(shè)置方法都一樣。 項(xiàng)目：安全設(shè)置 賬戶策略設(shè)置對密碼長度及格式的要求以及輸錯密碼后賬戶的鎖定狀態(tài)。每個選項(xiàng)打開后都 有解釋，建議認(rèn)真閱讀后再進(jìn)行設(shè)置。對于不同安全級別的用戶和計(jì)算機(jī)要區(qū)別對待。一刀 切的結(jié)果要么是服務(wù)器很快被攻破，要么是電腦超菜的 BOOS 怒氣沖沖的質(zhì)問你為什么打不 開自己的計(jì)算機(jī)。這就是為什么要逐級建立組織單位，按層級模式設(shè)置組策略。一般原則是 保障關(guān)鍵設(shè)備賬戶的安全（比如服務(wù)器和域管理員），保證對普通用戶的簡單友好（空密碼 都是允許的）。 本地策略的本地指的是組織單位里的計(jì)算機(jī)賬戶所代表的機(jī)器。在這里甚至可以監(jiān)控用戶對 文件的建立、刪除等操作，審核對象訪問就可以了，不過對于操作頻繁的位置開啟審核會產(chǎn) 生大量的日志文件。如果你一年半載的也不看

回日志的話，只開如圖的幾個就可以了。截圖