??? (2)計算機配置:腳本、安全設置
??? 用戶配置:IE 維護、腳本、安全設置、遠程安裝服務、文件夾重定向
??????????? (3)管理模板-解決用戶環(huán)境的問題
?????????????? 計算機配置:Windows 組件、系統(tǒng)、網(wǎng)絡、打印機
??? 用戶配置:Windows 組件、系統(tǒng)、網(wǎng)絡、桌面、控制面板、任務欄和開始菜單
??? 3.2.1 計算機配置中的 Windows 配置
??? 1.添加腳本
??? 組策略腳本設置的功能是可以集中配置腳本,在計算機啟動或關閉時, 自動運行。指定在 Windows 2003 上運行任何腳本,包括批處理文件、可執(zhí) 行程序等。如果同時添加多個腳本,則 Windows 2003 按照從上到下的順序 執(zhí)行;如果多個腳本之間有沖突,則最后處理的腳本有效。配置步驟如下:
???? 1) 打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
???? 2) 計算機配置-Windows 設置-腳本-右擊“啟動”-單擊“添加”
??? 3) 單擊“瀏覽” ,選定要運行的腳本或可執(zhí)行文件
??? 2.計算機中的安全設置
??? 安全設置包括:帳號策略、本地策略、事件日志、無限制的組、系統(tǒng) 務、注冊表、文件系統(tǒng)、公鑰策略、IP 安全策略。配置步驟如下:
??? (1) 打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
??? (2)計算機配置-Windows 設置-安全設置-右擊 “登錄屏幕不要顯示上次 登錄的用戶名”
??? (3) 選擇“安全性”-選中“定義這個策略設置”和“已啟用”
??? 3.2.2 計算機配置中的管理模板
??? (1)計算機配置中的管理模板-控制計算機桌面的外觀和行為
??? 管理模板包括:Windows 組件、系統(tǒng)、網(wǎng)絡。Windows 組件中規(guī)定了 一些操作系統(tǒng)自帶的組件,如:IE、Netmeeting、 若任務計劃等。
??? (2)設置 Windows 組件。步驟如下:
??? 1) 控制面板-任務計劃-添加一個任務計劃
??? 2) 打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
??? 3) 計算機配置-管理模板-Windows 組件-選中“任務計劃程序”項
??? 4) 右擊“禁用‘創(chuàng)建新任務’ ”-選擇“屬性”-在“策略”選項卡中選 中“啟用”
??? 管理模板是基于注冊表的策略。在計算機和用戶配置中都可以設置管 理模板的內(nèi)容。管理模板是組策略中可以使用的對系統(tǒng)進行管理最靈活的一種手段。
??? 3.2.3 網(wǎng)絡子樹
??? 網(wǎng)絡子樹包括:脫機文件(處理與脫機文件夾有關的事項);網(wǎng)絡及撥號連接
??? 禁用網(wǎng)絡連接共享。配置步驟如下:
??? (1)新建一個撥號連接,設置共享
??? (2)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
??? (2)計算機配置-管理模板-網(wǎng)絡-網(wǎng)絡及撥號連接
??? (4)右擊“允許連接共享”-選中“禁用”
??? 3.2.4用戶配置中的 Windows 配置
??? Windows 配置中包括:IE 維護、腳本、安全設置、遠程安裝服務、文 件夾重定向
??? (1)用用戶策略中的 IE 維護為用戶指定默認主頁。步驟如下:
??? 1) 打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
???? 2) 用戶配置-Windows 設置-IE 維護-URL
???? 3) 右擊“重要 URL”-選擇“屬性”-選中“自定義主頁 URL” -輸入網(wǎng)址
??? 3.2.5 文件夾重定向
??? 重定向文件夾。步驟如下:
??? 1) 用戶配置-Windows 設置-文件夾重定向-右擊“My Document”子樹-選擇“屬性”
??? 2) 在“目標”選項卡中,選擇“基本” ,來為每個用戶在服務器上 建立一個個人文件夾,文件夾名即用戶名
??? 3) 在目標文件夾的位置輸入路徑:\\服務器名\共享文件夾名\%用 戶名%
??? 4) 在“設置”選項卡中設置:只有用戶和系統(tǒng)能夠訪問該文件夾 文件夾重定向的功能:將用戶常用的文件夾重定向到網(wǎng)絡中的某臺服 務器的共享文件夾中。對用戶最終的效果是:無論用戶在那一臺計算機上 打開它自己的這些文件夾,看到的都是相同的內(nèi)容。需要注意的是,文件 夾重定向只是重定向用戶自己創(chuàng)建的數(shù)據(jù)文檔,而不會把系統(tǒng)數(shù)據(jù)重定向 到網(wǎng)絡服務器上。
??? 3.2.6用戶配置中的管理模板-控制用戶環(huán)境
??? 用戶配置的管理模板包含:Windows 組件、任務欄和開始菜單、桌面、控制面板、網(wǎng)絡、系統(tǒng)。
??? 資源管理器中的策略(使資源管理器中的文件夾選項消失)
??? 1) 打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
??? 2) 用戶配置-管理面板-Windows 組件-Windows 資源管理器
??? 3) 右擊“從‘工具’菜單中刪除‘文件夾選項’菜單” ,選擇“啟 用”任務欄和開始菜單-控制任務欄和開始菜單中的各種環(huán)境
??? 3.3 使用組策略管理軟件
??? 管理和維護軟件可能使大多數(shù)管理員都要面對的,客戶經(jīng)常會問管理 員他使用的軟件為什么不能使用了、新軟件如何安裝。怎么進行軟件升級 等。 利用 Windows server2003 的軟件分發(fā)功能可以很輕松的實現(xiàn)這些需求, 這位我們的管理工作帶來了極大的方便。軟件分發(fā)是指通過組策略讓用戶 或計算機自動進行軟件的安裝、更新或卸載。
??? 在 Windows server2003 中,可以通過使用一個站點、域、組織單元內(nèi) 的用戶和計算機的組策略設置,來為這個站點、域、組織單元的用戶和計 算機自動安裝、升級或刪除軟件。
??? 3.3.1 軟件布置(安裝和維護)的步驟
??? (1)準備階段
???? 準備一個文件, 以便一個應用程序能用組策略布置。 為完成這個, 應將用于應用程序的 Windows 安裝程序包文件(*.msi *.zap)復制到 一個軟件分布點,它可能是一個共享文件夾或服務器。
??? (2)布置階段
??? 管理員創(chuàng)建一個在計算機上安裝軟件并將 GPO 鏈接到相應的活 動類別容器內(nèi)的組策略對象(GPO) 。實際上,軟件是在計算機啟動 或用戶激活應用程序時安裝。
??? (3)維護階段
??? 用新版本的軟件升級軟件或用一個補丁包來重新布置軟件。當計 算機啟動時或用戶激活應用程序時將自動升級或重新布置軟件。
??? (4)刪除階段
??? 為刪除不再使用的軟件,從開始布置軟件的 GPO 中刪除軟件包 設置。當計算機啟動或用戶登錄時軟件將被自動刪除。
??? 3.3.2發(fā)布和分配軟件
??? 用組策略統(tǒng)一給客戶端安裝軟件,有兩種形式:發(fā)布、分配(指派)發(fā)布和分配軟件,所有發(fā)布的軟件都需要用控制面板中的“添加/刪除程序”工具來安裝;也可以通過文檔激活自動安裝。只能將軟件發(fā)布給用戶,而不給計算機。
??? 分配軟件可以將軟件分配用戶和計算機。通過分配軟件,可以確保:
??? (1)軟件對用戶總是可用的。 可以采用文檔激活方法安裝, 如使用 Word、 Excel 等應用程序的用戶。
??? (2)軟件是有彈性的。如果缺少某些文件,當用戶下次登錄并激活應用 程序時,將重新安裝。
??? (3)當給用戶分配軟件時,軟件將出現(xiàn)在用戶的桌面上,但是在用戶雙 擊其圖標或打開與應用程序關聯(lián)的文件之前,安裝不會開始。
??? (4)當給計算機分配軟件時,在計算機啟動時,軟件將被自動安裝。
??? 注:如果計算機是一個域控制器,分配軟件給計算機將不起作用。
??? 3.3.3 用組策略布置軟件包
??? 用組策略布置軟件包(以用戶配置中的軟件設置為例)。步驟如下:
??? 1)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
??? 2)用戶配置-軟件設置-右擊“軟件安裝”-選擇“新建”-單擊“程序 包” 3)選擇安裝程序包(*.msi *.zap)-單擊“打開”
??? 4)選擇布置方法為“已發(fā)行”
??? 5)再選擇另一個安裝程序包,選擇布置方法為“已指派”
??? 6)在域中另一臺計算機上登錄,控制面板-添加/刪除程序-添加新程序 注:該安裝程序包所在目錄必須是共享的,客戶機一定要指向 DNS。
??? 參考文獻:
??? [1]袁津生的計算機網(wǎng)絡安全基礎,人民郵電出版社,2008
??? [2]許治坤的網(wǎng)絡滲透技術,電子工業(yè)出版社,
??? [3]加瑞特(譯者范曉燕)的用戶體驗的要素,機械工業(yè)出版社 2008,1
??? [4]劉彥博譯的高性能網(wǎng)站建設指南,電子工業(yè)出版社,2008
?