企業Windows域環境中的組政策應用案例二

前言：

組政策的影響範圍非常廣泛，域内所有的使用者和計算機都可能會受到限制，是以，應用組政策之前應明确組政策的各種應用規則，如組政策的繼承與阻止、累加與沖突和強制生效等，以友善利用這些規則順利的實作使用者的需求。

-----------------------------------------------------------------

組政策的繼承與阻止：

在預設情況下，下層容器會繼承來自上層容器的GPO。如下圖所示，OU“銷售部”會繼承域“yye1.com”的組政策；子OU“銷售部_北京”和“銷售部_上海”會繼承其上級OU“銷售部”的組政策。 

子容器也可以阻止繼承上層容器的組政策。在上圖中，若OU“銷售部_北京”不需要應用來自上級OU的組政策，可以右擊“銷售部_北京”，在其彈出菜單中選擇“阻止繼承”，如下圖所示，這樣OU“銷售部_北京”就不會應用任何組政策。 

<a href="http://minitoo.blog.51cto.com/attachment/201204/20/4201040_13349290395zpg.png"></a>

組政策的累加與沖突：

如果容器的多個組政策設定不沖突，則最終的有效政策是所有組政策設定的累加。

如果容器的多個組政策設定沖突（對相同項目進行了不同設定），組政策則按以下順序被應用：LSDOU。它表示 本地（Local）、站點（Site）、域（Domain）、組織機關（Organizational Unit）。預設情況下，當政策設定發生沖突時，後應用的政策将覆寫前面的政策。

每台運作Windows版本系統的計算機都隻有一個本地組政策對象。如果計算機在工作組環境下，将會應用本地組政策對象。如果計算機加入域，則除了受到本地組政策的影響，還可能受到站點、域和OU組政策對象的影響。如果政策之間發生沖突。則後應用的政策其作用。

總之：組政策按如下順序應用。

1）首先應用本地組政策對象。 

2）如果有站點組政策對象，則應用。 

3）然後應用域組政策對象。 

4）如果計算機或使用者屬于某個OU，則應用OU上的組政策對象。 

5）如果計算機或使用者屬于某個OU的子OU，則應用子OU上組政策對象。 

6）如果同一個容器下連結了多個組政策對象，則連結順序最低的組政策對象最後處理，是以它具有最高的優先級。

組政策的強制生效：

根據上面的介紹，下級容器可以對上級容器的GPO采用阻止繼承的操作，或者下級容器設定一個與上級容器相對沖突的GPO，進而使上級容器的GPO不能生效。如何使上級容器的GPO強制生效呢？

如下圖步驟所示：可以實作強制下級生效上級的某個GPO 

<a href="http://minitoo.blog.51cto.com/attachment/201204/20/4201040_1334929403S2Sw.png"></a>

“強制生效”會覆寫“阻止繼承”設定，這也成為網絡管理者對網絡進行統一管理的一種方法。

篩選：

上面介紹的GPO都應用于容器下的所有使用者和計算機。但實際環境中會有這樣的需求：例如銷售部的所有普通使用者都受GPO限制，而銷售部經理的賬戶不受此限制，這個功能要依靠篩選來實作。篩選可以實作阻止一個GPO應用于容器内部特定使用者和計算機。

容器中的使用者和計算機之是以受GPO的影響，是因為他們對GPO擁有讀取和應用組政策的權限。如果使用者或計算機賬戶沒有讀取和應用組政策的權限，組政策将拒絕執行。

軟體分發：

網絡管理者在布置域中軟體時，常常需要在很多太計算機上對同一軟體進行安裝或解除安裝。如果在每台計算機上重複這些操作，工作量大而且容易出錯，有沒有一種能減少工作量的方法呢？利用GPO設定軟體分發政策，可以實作對容器下所有使用者和計算機的軟體管理。有效提升軟體部署效率。 

利用GPO給容器下的計算機或者使用者分發軟體，需要經過以下幾個步驟：

1）擷取Windows安裝程式封包件；該程式包含一個 .msi 檔案已經必要的相關的安裝檔案。 

2）将安裝程式封包件存放到一個軟體分發點。軟體分發點是伺服器上的一個共享檔案夾，使用者都有通路權限。 

3）建立或修改GPO，該GPO包含軟體分發的内容。

------------------------------------------------------------------

案例環境二：  組政策的應用規則

某公司網絡采用Windows Server 2008 域環境進行管理，各部門員工使用者賬戶都位于各自部門的OU中，OU“銷售部”中包含普通員工使用者帳戶UserA、UserB和部門經理使用者賬戶ManagerA，OU“财務部”中包含使用者賬戶“UserC， OU“人事部”中包含使用者UserD，預設OU“computer”中包含客戶機Windows7。現在公司要求全體員工都不能運作指令提示符，除銷售部員工要使用統一的桌面背景，銷售部員工使用銷售部統一的桌面背景，銷售部經理可以自定義桌面背景。

案例描述：

1）使用預設域政策禁止所有使用者運作指令提示符。 

2）使用預設域政策為所有員工設定公司的統一桌面背景。 

3）利用組政策的應用順序原則，在OU“銷售部”下建立GPO“wallpaper_sales”，為銷售部員工設定統一桌面。 

4）使用篩選規則使銷售部經理可以自定義桌面背景。

案例實施：

1）準備域控制器和客戶機。 

1.正确配置各主機的網絡參數，確定從用戶端能正确登入域yye1.com。 

2.準備兩張圖檔，“wallpaper_company.jpg”充當公司統一的桌面背景；“wallpaper_sales.jpg”充當銷售部統一的桌面背景。 

<a href="http://minitoo.blog.51cto.com/attachment/201204/20/4201040_13349294317x01.png"></a>

3.将上面的兩張圖檔放置在域控制器DC01的共享檔案夾wallpaper中，域使用者對該檔案夾擁有讀取權限。 

2）編輯預設域政策對其進行配置。 

1.編輯預設域政策，啟用選項“阻止通路指令提示符”。 

<a href="http://minitoo.blog.51cto.com/attachment/201204/20/4201040_1334929737MLzH.png"></a>

2.編輯預設域政策，設定應用牆紙“wallpaper_company.jpg”。 

<a href="http://minitoo.blog.51cto.com/attachment/201204/20/4201040_1334930029HX3u.png"></a>

3）在OU“銷售部”上建立GPO并對其編輯。 

1.在OU“銷售部”上建立GPO，名為“wallpaper_sales”。 

<a href="http://minitoo.blog.51cto.com/attachment/201204/20/4201040_1334930144XxYG.png"></a>

2.編輯GPO“wallpaper_sales”，設定應用牆紙“wallpaper_sales.jpg”。 

<a href="http://minitoo.blog.51cto.com/attachment/201204/20/4201040_13349302073bon.png"></a>

3.對GPO“wallpaper_sales”、委派權限，添加ManagerA的拒絕讀取和拒絕應用組政策權限。 

<a href="http://minitoo.blog.51cto.com/attachment/201204/20/4201040_1334930566Nnh4.png"></a>

4）驗證結果。 

1.使用UserA或UserB從客戶機Windows7登入域，應用了銷售部統一桌面背景，無法運作指令提示符。

<a target="_blank" href="http://blog.51cto.com/attachment/201204/233531718.jpg"></a>

2.使用UserC和UserD從客戶機Windows7登入域，應用了公司統一桌面背景，無法運作指令提示符。

<a target="_blank" href="http://blog.51cto.com/attachment/201204/233610257.jpg"></a>

<a href="http://minitoo.blog.51cto.com/attachment/201204/20/4201040_1334935531wmpp.png"></a>

本文轉自 jundong 51CTO部落格，原文連結：http://blog.51cto.com/minitoo/840003，如需轉載請自行聯系原作者