(2)计算机配置:脚本、安全设置
用户配置:IE 维护、脚本、安全设置、远程安装服务、文件夹重定向
(3)管理模板-解决用户环境的问题
计算机配置:Windows 组件、系统、网络、打印机
用户配置:Windows 组件、系统、网络、桌面、控制面板、任务栏和开始菜单
3.2.1 计算机配置中的 Windows 配置
1.添加脚本
组策略脚本设置的功能是可以集中配置脚本,在计算机启动或关闭时, 自动运行。指定在 Windows 2003 上运行任何脚本,包括批处理文件、可执 行程序等。如果同时添加多个脚本,则 Windows 2003 按照从上到下的顺序 执行;如果多个脚本之间有冲突,则最后处理的脚本有效。配置步骤如下:
1) 打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2) 计算机配置-Windows 设置-脚本-右击“启动”-单击“添加”
3) 单击“浏览” ,选定要运行的脚本或可执行文件
2.计算机中的安全设置
安全设置包括:帐号策略、本地策略、事件日志、无限制的组、系统 务、注册表、文件系统、公钥策略、IP 安全策略。配置步骤如下:
(1) 打开组策略控制台-选中需要编辑的组策略-单击“编辑”
(2)计算机配置-Windows 设置-安全设置-右击 “登录屏幕不要显示上次 登录的用户名”
(3) 选择“安全性”-选中“定义这个策略设置”和“已启用”
3.2.2 计算机配置中的管理模板
(1)计算机配置中的管理模板-控制计算机桌面的外观和行为
管理模板包括:Windows 组件、系统、网络。Windows 组件中规定了 一些操作系统自带的组件,如:IE、Netmeeting、 若任务计划等。
(2)设置 Windows 组件。步骤如下:
1) 控制面板-任务计划-添加一个任务计划
2) 打开组策略控制台-选中需要编辑的组策略-单击“编辑”
3) 计算机配置-管理模板-Windows 组件-选中“任务计划程序”项
4) 右击“禁用‘创建新任务’ ”-选择“属性”-在“策略”选项卡中选 中“启用”
管理模板是基于注册表的策略。在计算机和用户配置中都可以设置管 理模板的内容。管理模板是组策略中可以使用的对系统进行管理最灵活的一种手段。
3.2.3 网络子树
网络子树包括:脱机文件(处理与脱机文件夹有关的事项);网络及拨号连接
禁用网络连接共享。配置步骤如下:
(1)新建一个拨号连接,设置共享
(2)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
(2)计算机配置-管理模板-网络-网络及拨号连接
(4)右击“允许连接共享”-选中“禁用”
3.2.4用户配置中的 Windows 配置
Windows 配置中包括:IE 维护、脚本、安全设置、远程安装服务、文 件夹重定向
(1)用用户策略中的 IE 维护为用户指定默认主页。步骤如下:
1) 打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2) 用户配置-Windows 设置-IE 维护-URL
3) 右击“重要 URL”-选择“属性”-选中“自定义主页 URL” -输入网址
3.2.5 文件夹重定向
重定向文件夹。步骤如下:
1) 用户配置-Windows 设置-文件夹重定向-右击“My Document”子树-选择“属性”
2) 在“目标”选项卡中,选择“基本” ,来为每个用户在服务器上 建立一个个人文件夹,文件夹名即用户名
3) 在目标文件夹的位置输入路径:\\服务器名\共享文件夹名\%用 户名%
4) 在“设置”选项卡中设置:只有用户和系统能够访问该文件夹 文件夹重定向的功能:将用户常用的文件夹重定向到网络中的某台服 务器的共享文件夹中。对用户最终的效果是:无论用户在那一台计算机上 打开它自己的这些文件夹,看到的都是相同的内容。需要注意的是,文件 夹重定向只是重定向用户自己创建的数据文档,而不会把系统数据重定向 到网络服务器上。
3.2.6用户配置中的管理模板-控制用户环境
用户配置的管理模板包含:Windows 组件、任务栏和开始菜单、桌面、控制面板、网络、系统。
资源管理器中的策略(使资源管理器中的文件夹选项消失)
1) 打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2) 用户配置-管理面板-Windows 组件-Windows 资源管理器
3) 右击“从‘工具’菜单中删除‘文件夹选项’菜单” ,选择“启 用”任务栏和开始菜单-控制任务栏和开始菜单中的各种环境
3.3 使用组策略管理软件
管理和维护软件可能使大多数管理员都要面对的,客户经常会问管理 员他使用的软件为什么不能使用了、新软件如何安装。怎么进行软件升级 等。 利用 Windows server2003 的软件分发功能可以很轻松的实现这些需求, 这位我们的管理工作带来了极大的方便。软件分发是指通过组策略让用户 或计算机自动进行软件的安装、更新或卸载。
在 Windows server2003 中,可以通过使用一个站点、域、组织单元内 的用户和计算机的组策略设置,来为这个站点、域、组织单元的用户和计 算机自动安装、升级或删除软件。
3.3.1 软件布置(安装和维护)的步骤
(1)准备阶段
准备一个文件, 以便一个应用程序能用组策略布置。 为完成这个, 应将用于应用程序的 Windows 安装程序包文件(*.msi *.zap)复制到 一个软件分布点,它可能是一个共享文件夹或服务器。
(2)布置阶段
管理员创建一个在计算机上安装软件并将 GPO 链接到相应的活 动类别容器内的组策略对象(GPO) 。实际上,软件是在计算机启动 或用户激活应用程序时安装。
(3)维护阶段
用新版本的软件升级软件或用一个补丁包来重新布置软件。当计 算机启动时或用户激活应用程序时将自动升级或重新布置软件。
(4)删除阶段
为删除不再使用的软件,从开始布置软件的 GPO 中删除软件包 设置。当计算机启动或用户登录时软件将被自动删除。
3.3.2发布和分配软件
用组策略统一给客户端安装软件,有两种形式:发布、分配(指派)发布和分配软件,所有发布的软件都需要用控制面板中的“添加/删除程序”工具来安装;也可以通过文档激活自动安装。只能将软件发布给用户,而不给计算机。
分配软件可以将软件分配用户和计算机。通过分配软件,可以确保:
(1)软件对用户总是可用的。 可以采用文档激活方法安装, 如使用 Word、 Excel 等应用程序的用户。
(2)软件是有弹性的。如果缺少某些文件,当用户下次登录并激活应用 程序时,将重新安装。
(3)当给用户分配软件时,软件将出现在用户的桌面上,但是在用户双 击其图标或打开与应用程序关联的文件之前,安装不会开始。
(4)当给计算机分配软件时,在计算机启动时,软件将被自动安装。
注:如果计算机是一个域控制器,分配软件给计算机将不起作用。
3.3.3 用组策略布置软件包
用组策略布置软件包(以用户配置中的软件设置为例)。步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)用户配置-软件设置-右击“软件安装”-选择“新建”-单击“程序 包” 3)选择安装程序包(*.msi *.zap)-单击“打开”
4)选择布置方法为“已发行”
5)再选择另一个安装程序包,选择布置方法为“已指派”
6)在域中另一台计算机上登录,控制面板-添加/删除程序-添加新程序 注:该安装程序包所在目录必须是共享的,客户机一定要指向 DNS。
参考文献:
[1]袁津生的计算机网络安全基础,人民邮电出版社,2008
[2]许治坤的网络渗透技术,电子工业出版社,
[3]加瑞特(译者范晓燕)的用户体验的要素,机械工业出版社 2008,1
[4]刘彦博译的高性能网站建设指南,电子工业出版社,2008