我們先了解下組策略知識:
1、組策略中包含兩部分:
1 計算機配置:針對計算機的配置,只在計算機上生效。計算機啟動的時候應用,在出現登錄界面前。
2 用戶配置:針對用戶的配置,只在所有用戶帳戶上生效。用戶登錄后應用。
2、根據應用范圍將組策略分為三類:
1 域的組策略:設置對於整個域都生效。在“AD用戶和計算機”中,右擊域名-〉屬性-〉組策略。
2 OU的組策略:設置對於這個的OU生效。在“AD用戶和計算機”中,右擊OU名-〉屬性-〉組策略。
3 站點的組策略:設置對於這個站點生效。在“AD站點和服務”中,右擊站點名-〉屬性-〉組策略。
注意:“運行”中鍵入gpedit.msc,啟動的是本地組策略,我們要的是“域組策略”!所以必須右擊“AD用戶和計算機”中才能進入。
3、組策略的執行順序:
1 站點-〉域-〉組織單元(OU)
2 計算機配置-〉用戶配置
4、組策略的沖突:
1 在不同組策略中的同一項目的設置相反,就是組策略沖突。如:在站點組策略中,“隱藏桌面上的網上鄰居圖標”設置為“啟用”,而域的組策略上設置的是“禁用”。再如:在域的組策略中“密碼長度”設置為“7”,而OU的組策略中設置的是“6”。
2 沖突的結果:后執行的是結果。
5、組策略中的設置內容:
1 軟件安裝:自動安裝應用軟件。計算機配置和用戶配置下都有。准備工作:軟件的源安裝文件,在安裝文件中要有.msi為后綴的可執行文件。將軟件的源安裝文件放到一個共享文件夾中。(網絡路徑)
A、已發行:由用戶決定是否安裝。如果軟件包是已發行方式,用戶登錄后,系統會在添加/刪除程序-〉添加新程序中顯示已發行的軟件包。在計算機配置中不能實現。
B、已指派:強制性安裝,自動安裝。
2 WINDOWS設置:
A、計算機配置:腳本(啟動和關機),安全設置。
B、用戶配置:IE維護,腳本(登錄和注銷),安全設置(密鑰),遠程安裝服務(為客戶機安裝WIN2000 PRO),文件夾重定向(把用戶的一些重要文件夾重定向到文件服務器中)。
3 管理模板:
A、計算機配置:WINDOWS組件、系統、網絡、打印機。
B、用戶配置:WINDOWS組件、系統、網絡、任務欄和開始菜單、桌面、控制面板。
6、“組策略”選項卡下的操作:
1 刪除:刪除組策略對象。
注意:
A 非永久刪除:“從列表中移除連接”。只是在列表中刪除,還可以在系統中找到,並添加回來或添加到其他容器上。
B 永久性刪除:“移除連接並將組策略永久刪除”。徹底的刪除掉,在系統中無法找到了。
2 新建:新建一個組策略。
3 編輯:編輯指定組策略的設置。
4 添加:將系統中已有的組策略應用到指定容器(域、OU、站點)中。
5 選項:
A 禁止替代:禁止后執行的組策略中的項目更改這個組策略的項目。如:在域的組策略中“密碼長度”設置為“7”,而OU的組策略中設置的是“6”,並且在域的組策略中選擇了“禁止替代”。那么最終結果為“密碼長度”是“7”。
B 被禁用:指定組策略不在容器上應用。
6 屬性:
A 禁止計算機配置:指定組策略的計算機配置在容器上不生效。
B 禁止用戶配置:指定組策略的用戶配置在容器上不生效。
C “安全”選項卡:對於指定組策略的控制權限的設置。
7 如果在一個容器上有多個組策略,在組策略列表中上端的先執行,依次向下執行。
A “向上”/“向下”按鈕:修改容器上的組策略在列表中的位置,從而修改了容器上組策略的執行順序。
8 “阻止策略繼承”選項:從更高級站點、域或組織單位繼承的策略可以在該站點、域或組織單位級別被拒絕。禁止更高級別的組策略在該容器上執行。
A “阻止策略繼承”如果已啟用“禁止替代”,則不會阻止“組策略”對象。
B “阻止策略繼承”只能在站點、域和組織單位上設置,而不能在單個“組策略”對象上設置。
7、最佳操作
1 組策略:
A 禁用組策略對象的未使用部分。
B 使用阻止策略繼承和禁止替代部分功能。
C 最小化與域中或組織單位中的用戶關聯的組策略對象的數量。應用於用戶的組策略越多,它登錄的時間越長。
D 避免交叉域組策略對象分配。如果從其他域獲得組策略,那么組策略對象的處理將減慢登錄和啟動。
2 軟件安裝和管理
A 在 Windows 安裝程序包發行或指派之前確定它們已正確轉換。.msi或 .mst文件。
B 每個組策略對象只指派或發行一次:例如,如果將 Microsoft Office 指派給受組策略對象影響的計算機,則不能再將它指派或發行給受組策略對象影響的用戶。
C 重新打包現有軟件。
D 使用DFS。
E 在 Active Directory 層次結構中的高層指派或發行。
3 文件夾重定向
A 讓“My Picture”文件夾始終跟隨“我的文檔”文件夾。
****************************************************************************************************************************************************************************
了解以上組策略知識后,我們就開工 (*^__^*) ……
組策略管理在windows域管理中占有重要地位,本身也不是新的內容了。但微軟在Windows2008中終於集成了一個非常好用的組策略管理工具——組策略管理控制台。注意:2008 r2 右擊域或者OU的屬性中不再出現“組策略”。 在Server 2008以前的Windows Server中要想配置組策略, 是件麻煩事。后來微軟推出了一個小工具——gpmc,才解決了問題,但這個工具需要下載和安裝,許多人不知道有這個工具的存在。在Windows 2008 R2中,微軟將它集成了進來,大大方便了管理員對於組策略的管理和配置。首先,讓我們看看它的廬山真面目吧!
在“開始”-“管理工具”-“組策略管理”,就可打開。或者在“運行”中鍵入gpmc.msc,也能打開:
對“財政部”的用戶統一桌面,右擊“財政部”-“在這個域中創建GPO並在此處鏈接” 
命名為“財政部組策略對象” 
右擊-“編輯” 
1、啟用"用戶配置--管理模板--桌面--Active Desktop-啟用Active Desktop ", "禁用Active Desktop"保持"未配置" 2、啟用"用戶配置--管理模板--桌面--Active Desktop--桌面牆紙"並在牆紙"名稱"處輸入牆紙的路徑 
在AD服務器中共享一個“Share”的文件夾,權限為everyone讀取,在里面放一張壁紙: 
這是壁紙的內容: 
在下面中輸入
更新組策略:gpupdate 
用“財政部”的用戶登入客戶端,會發現桌面已變。 
會發現桌面的圖標有藍色陰影,相當難看!請見我的解決方案。
發現桌面不能更改,全部灰色不可用: 
用域管理員賬號登入客戶端,桌面不受影響: 
OK!
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
下面是對瀏覽器的標題進行統一設定:
“運行”-gpupdate,更新組策略。
以下用財政部的一個用戶登錄客戶端驗證: 
用域管理員驗證,不受影響
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ 下面是限制用戶能登陸的機子:
