|
一、 组策略的作用
★ 集中化管理
★ 管理用户环境
★ 降低管理用户的开销
★ 强制执行企业策略
总之,组策略的功能很强大,如果你想对客户机做任何的限制或更改,都能通过组策略实现。
二、 组策略只能使用于“站点(site)”、“域(domain)”、“组织单元(OU)”三个容器。
当网络模型很大、很分散时候,才用站点,以减少域服务器之间的复制流量和提高用户的登陆速度。
三、 组策略的组成
| ————容器(Group Policy Container),在AD的数据库中,保存版本信息
对象(Group Policy Object)—
|————模板(Group Policy Template),载sysovl中,保存所作的一些调整
四、组策略的继承关系
★默认策略
★阻止策略
★强制策略
★设置权限(让ou内的某个用户单独不使用 作用在该ou上的策略,大致方法是:首先在GPMC窗口中为该OU指定相应的策略,再选中该OU,在右边弹出的窗口中选择“委派”选项卡,点击 高级 按钮,添加该用户的的用户名,对该用户给定一个“拒绝 应用组策略”)
五、 GPMC(group policy management console)
是微软提供的组策略管理工具,windows server 2003的附加软件,功能强大,可以方便的管理和配置组策略,可以到微软的官方网上下载,下面是放出的下在地址 http://download.microsoft.com/download/3/1/3/31358ca0-98a7-42be-8bdd-1ec673f18668/gpmc.msi
GPMC对支持活动目录中的组策略对象管理提供了全新的机制,它对组策略对象的备份、恢复、导入、管理等方面的功能远远超出了Windows操作系统所提供的功能。当然并不仅限于此,GPMC更是一个解决方案,一种手段。基于HTML的报告,使每个组策略的信息一览无遗,报告在GPMC中扮演着重要角色。很容易看出,GPMC是针对Windows Server 2003设计的,虽然您可以把它应用到Windows 2000的域中,但总会接收到各种各样的"警告"信息。然而,对热衷于组策略的您,无论在哪个平台,GPMC都会使您游刃有余。同时,我们更殷切地期盼微软推出一个更完善、更易用的GPMC。
六、 软件分发
在做软件分发时候注意:如果软件安装时候需要本地管理员权限的话,那么一定要登陆后才能分发下去,
组策略只能分发MSI格式的安装包
非MSI软件的安装包,可以到网上下载工具转成安装包,也可以使用SMS(也是微软开发,属收费软件,可以不使用组策略的情况下将所有格式的安装程序分发到客户端。
七、 WMI 筛选器
Windows Management Instrumentation (WMI) 筛选器使您能够根据目标计算机的属性,动态确定组策略对象 (GPO) 的范围。
如果目标计算机上应用了链接到 WMI 筛选器的 GPO,则会在该目标计算机上评估该筛选器。如果 WMI 筛选器的评估结果为假,则不会应用该 GPO(除非客户端计算机正在运行 Windows 2000,这种情况下会忽略筛选器并总是应用 GPO)。如果筛选器评估结果为真,则将应用 GPO。
WMI 使得目标计算机的相关数据可用于管理用途。这样的数据包括硬件和软件清单、设置和配置信息。例如,WMI 会显示硬件配置数据(如 CPU、内存、磁盘空间和制造商),以及注册表、驱动程序、文件系统、Active Directory、Windows Installer 服务、网络连接配置和应用程序数据中的软件配置数据。
WMI 筛选器由基于上述数据的一个或多个查询组成。如果所有查询均为真,链接到该筛选器的 GPO 就会应用。查询是使用 WMI 查询语言 (WQL) 编写的,这种语言与 SQL 有些相似。可以使用 AND 和 OR 逻辑运算符对查询进行组合,以获得管理员想要达到的任何效果。对于某个特定的 WMI 命名空间会执行每个查询。当您创建查询时,必须指定命名空间。默认为 root\CIMv2,它对于大多数 WMI 查询均合适。
WMI 筛选器是目录中与 GPO 不同的对象。为了将 WMI 筛选器应用到 GPO,您应该将该筛选器链接到 GPO。这会在 GPO“范围”选项卡的 WMI 筛选部分显示。每个 GPO 都只有一个 WMI 筛选器,但是同一个 WMI 筛选器可以链接到多个 GPO。
WMI 筛选器与 GPO 一样,都是以每个域为基础进行存储的。WMI 筛选器及其链接的 GPO 必须位于同一个域中。
注意
| ? |
对于 WMI 筛选器的客户端支持仅存在于 Windows XP、Windows Server 2003 和更高版本的操作系统上。Windows 2000 客户端会忽略任何 WMI 筛选器,无论 WMI 筛选器如何,总是会应用 GPO。
|
| ? |
WMI 筛选器只在至少具有一个 Windows Server 2003 域控制器的域中可用。在只有 Windows 2000 域组成的环境中,组策略管理控制台 (GPMC) 中不显示 WMI 筛选器节点。
|
同时使用 WMI 筛选器和 GPMC
使用 GPMC 可以创建和删除 WMI 筛选器、链接和取消链接 WMI 筛选器、复制和粘贴 WMI 筛选器、导入和导出 WMI 筛选器,以及查看和编辑 WMI 筛选器的属性。
示例代码
下表显示了几个 WMI 筛选器的示例代码。
避免在可以打开多播的计算机上打开 netmon。
Select * from Win32_NetworkProtocol where SupportsMulticasting = true
在位于美国东海岸的所有服务器上应用策略。
Root\cimv2 ; Select * from win32_timezone where bias =-300
在装有特定修补程序的计算机上应用策略。
Root\cimv2 ; Select * from Win32_QuickFixEngineering where HotFixID = 'q147222'
仅在已经具有两个软件程序包之一的计算机上分配软件。
Root\cimv2;Select * from Win32_Product where name = "MSIPackage1" OR name = "MSIPackage2"
仅运行 Windows XP Professional 的目标计算机。
Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"
只针对至少具有 600 兆字节 (MB) 可用空间的计算机。
Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > 629145600 AND Description <> "Network Connection"
针对 Toshiba Tecra 800 和 810 型号。
Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = "Toshiba" and Model = "Tecra 800" OR Model = "Tecra 810"
八、 软件限制策略
★可以控制电脑上运行什么样的程序
★可以只允许在多用户电脑上运行指定类型的文件
★可以控制哪些用户运行软件时候限制
★防止指定程序在不同电脑上运行
★本地电脑
★任何在域里的电脑
规则:
★哈希规则
利用文件的MD5或SHA1的hash来做比较
★路径规则
不安全,将限制的程序拷贝到其他路径,就能很好的执行。
★证书规则
★Internet区域规则
以上四个规则的优先级从高到底为:哈希规则——证书规则——路径规则——Internet区域规则
为整理的文件。只做复习参考使用
|