简介

       第一学期的课程讲过配置本地安全策略，可以加强工作组中计算机的安全性。但是在域环境中，如果要对多台客户机进行同样的安全设置，是否需要在每一台计算机上单独配置呢?答案是否定的，可以通过组策略对多台客户机进行统一配置。本章主要介绍组策略的作用，如何创建组略，组策略的应用顺序，配置组策略的继承，阻止继承，强制生效和筛选等功能，最后介绍通过组策略完成软件的分发。

1.组策略简介

       组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。

       通俗来说，它是介于控制面板和注册表之间的一种修改系统，设置程序的工具。利用组策略可以修改Windows系统的桌面，“开始”菜单，E浏览器及其他组件等许多设置。

       通过在域中实施组策略，管理员可以很方便地管理Active Directory中的所有用户和计算机的工作环境，如用户桌面环境、计算机启动/关机与用户登录/注销时所执行的脚本文件，软件安装、安全设置等，大大提高了管理员管理和控制用户和计算机的能力。

       使用组策略，可以带来以下好处。

       减小管理成本，因为只需设置一次，相应的用户或计算机即可全部应用规定的设置，减少用户单独配置错误的可能性。

       可以针对特定对象(用户或计算机)实施特定策略。

1.1 组策略对象简介

       组策略的所有配置信息都存放在GPO(Group Policy Object，组策略对象)中。组策略被视为 ActiveDirectory中的一种特殊对象，可以将GPO和活动目录的容器(站点、域和 OU)链接起来，以影响容器中的用户和计算机。组策略是通过组策略对象来进行管理的。

1.默认GPO

       当Windows Server2016域创建完成时，默认有两个GPO。一个是DefaultDomain Policy(默认域策略)，另一个是Default Domain ControllersPolicy(默认域控制器策略)，如何查看这两个GPO呢?

       在“开始”菜单中的“Windows管理工具”中打开“组策略管理”控制台，展开左侧窗格中的各个节点，找到“组策略对象”打开后就可以看到两个默认的GPO，如图所示。

                      默认域策略影响域中所有的用户和计算机，默认域控制器策略影响
                       组织单位“Domain Controllers”中的所有用户和计算机。

2.GPO链接

       GPO 用来保存组策略，必须进一步指定GPO 所链接的对象才能将组策略应用到指定对象，GPO只能链接至Active Directory的站点，域或组织单位，即活动目录的容器，容器中包含的用户和计算机这两种活动目录对象会受到组策略的控制。

       单击组策略对象中的“Default Domain Controllers Policy”，在右侧窗格中可以看到该GPO 已经链接到了组织单位“DomainControllers”，如图所示。

       单击组策略对象中的“Default Domain Policy，在右侧窗格中可以看到该GPO 已经链接到了域(本例为benetcom)，如图所示，

1.2 组策略的创建方法

       组策略中包含计算机配置和用户配置。计算机配置对容器中的计算机起作用，用户配置则对容器中的用户起作用。

1.计算机配置

       计算机配置包括策略和首选项两个部分。配置这些策略后，容器中所有的计算机都会受到影响。

       也就是说，如果计算机配置应用到某个容器上，任何域用户(不一定是该容器中的用户)使用此容器中的计算机都会受到此策略的影响。

       策略主要包括软件设置，Windows设置和管理模板3部分。

       软件设置:该文件夹中包含“软件安装”，可以在此为计算机安装软件。

       Windows设置:包括域名解析策略，脚本(启动/关机)安全设置和基于策略的QoS这3个子项。脚本可以在计算机启动或关机时运行，以执行特殊的程序和任务。

       管理模板:管理模板包括Windows组件、打印机、控制面板、网络，系统和所有设置等部分。

       案例某公司网络采用WindowsServer 2016域环境进行管理，财务部员工的用户账户和计算机账户都位于OU“财务部"中，现在公司要求财务部的所有计算机都要自动下载并安装系统补丁。

       按照以下步骤操作可以实现上述要求。

               (1)使用域管理员账号登录DC，选择菜单“开始”→“Windows管理工具”→“组策略管理”，打开“组策略管理”控制台。

               (2)右击OU“财务部”，在弹出的快捷菜单中选择“在这个域中创建GPO并在此处链接”命令，如图所示。

       (3)在打开的“新建GPO”对话框中输入GPO 名称“finance_update”，然后单击“确定”按钮，如图所示。

       (4)右击GPO“finance_update”，在弹出的快捷菜单中选择“编辑”命令，打开“组策略管理编辑器”对话框，选择菜单“计算机配置”→“策略”→“管理模板:从本地计算机中检索→“Windows组件”→“Windows更新”，如图所示。

       (5)在右侧窗格中双击“设置”下的“配置自动更新”，打开“配置自动更新”窗口，点选“已启用”单选按钮，设置配置自动更新为“4-自动下载并计划安装”，计划安装日期为“0-每天”，计划安装时间为“12:00”.然后单击“确定”按钮，如图4.7所示。

       (6)验证结果，使用任何域账户从OU“财务部”中的计算机Client02登录，用户都无法更改自动更新设置，使用任何域账户从其他OU下的计算机登录均可以自定义自动更新设置，如图所示。

       由此可见，计算机配置只针对容器中的计算机账户起作用。

2.用户配置

       用户配置包括策略和首选项两个部分。配置这些策略后，容器中所有的用户都会受其影响。也就是说，如果用户配置应用到某个容器上，此容器中的用户在任何一台域成员计算机上(不一定是该容器中的计算机)登录都会受到此策略的影响。

       策略中主要包括软件设置，Windows设置和管理模板3部分。

       软件设置:该文件夹中包含“软件安装”，可以在此项中设置为用户安装软件。

       Windows设置:包括脚本(登录/注销)安全设置，文件夹重定向，基于策略的QoS和 Internet

Explorer维护。

       管理模板:包括“开始”菜单和任务栏，Windows组件、共享文件夹、控制面板、网络、系统、桌面和所有设置。

       案例某公司网络采用Windows Server 2016 域环境进行管理，销售部员工的用户账户和计算机账户都位于OU“销售部”中，现在公司要求销售部的员工统一使用公司指定的桌面背景，不能随意更改其他桌面背景。

       按照以下步骤操作可以实现上述要求。

       (1)使用域管理员账号登录DC，选择菜单“开始”→“Windows管理工具”→“组策略管理”，

打开“组策略管理”控制台。

       (2)右击OU“销售部”，在弹出的快捷菜单中选择“在这个域中创建GPO并在此处链接”命令，

如图所示。

       (3)在“新建GPO”对话框中输入 GPO 名称“wallpaper_sales”，然后单击“确定”按钮，如图所示。

       (4)右击GPO“wallpaper_sales”，在弹出的快捷菜单中选择“编辑”命令，打开“组策略管理编辑器”控制台，选择菜单“用户配置”→“策略”→“管理模板:从本地计算机中检索”→“桌面”→“Active Desktop，如图所示。

       (5)在右侧窗格中双击“设置”下的“启用ActiveDesktop”，打开启用ActiveDesktop窗口，点选“已启用”单选按钮，单击“确定”按钮，如图所示。

       (6)在右侧窗格中双击“设置”下的“不允许更改”，打开“不允许更改”窗口，点选“已启用”单选按钮，单击“确定”按钮，如图所示。

       (7)在右侧窗格中双击“设置”下的“桌面墙纸”，打开“桌面墙纸”窗口，点选“已启用”单选按钮，设置“墙纸名称”和“墙纸样式”，单击“确定”按钮，如图所示，

       如果指定的图片文件在用户登录时不可用，则不会显示任何墙纸。

       (8)验证结果，使用OU“销售部”中的用户账户UserA或UserB从客户机Client01登录域，都会应用指定的桌面背景，使用其他OU下的用户账户UserC或UserD从客户机Client01登录域则不受此影响。

       由此可见，用户配置只针对容器中的用户起作用。

       不同的组策略设置所支持的计算机 Windows操作系统版本不同，如有的策略支持系统版本最低为 Windows Server 2000，有的最低为Windows Vista，配置具体策略时请参考其说明。

       如果组策略未生效，可以分别在域控制器和客户机上运行命令“gpupdate /force”刷新组策略。