1、
什么是组策略(Group Policy/GP)
组策略用来管理网络环境中的用户和计算机,GP中定义了系统管理员管理工作所要的各种模板组件。大体可以进行5类管理任务:
A、
通过管理模片管理基于注册表的策略:可用来修改HKCU 和HKLM里的参数
B、
指派脚本:启动、关机、登入、登出等脚本
C、
重定向文件夹
D、
管理应用程序
E、
指定安全选项
组策略中包含两部分:
1]计算机配置:针对计算机的配置,只在计算机上生效。计算机启动的时候应用,在出现登录界面前。
2]用户配置:针对用户的配置,只在所有用户帐户上生效。用户登录后应用。
两者都包括以下三个子项:
A、
软件设置:包括软件指派,发布、更新、修复和软件的设置
B、
Windows设置:包括文件夹重定向、安全设置和登入、登出脚本
C、
管理模板:2003的管理模版存储在GPT中的Registry.pol文件中,其有两个文件,一个用于计算机设置,一个用户用户设置。
GPO(Group Policy Object)组策略对象:包含多种Windows组策略设置的集合,存储在:GPC和GPT两个位置:
GPC(Group Policy Container)组策略容器:GPC存储在活动目录中,包含GPO属性和版本信息的AD对象。可让计算机访问它来查找GPT,域控制器能够访问它来获得版本信息
GPT(Group Policy Template)组策略模板:GPT存储在SYSVOL目录中,包含所有的组策略设置和信息,包括管理模版、安全性、软件安装、命令和文件夹重定向设置。路径为%Systemroot%/SYSVOL\sysvol
2、
GPO的应用与顺序:
1、GPO可应用到站点(SITE)、域(Domain)或组织单元(OU),当要将GPO应用到SITE、Domain或OU时,需将GPO链接到组策略是相应的容器中。
2、根据应用范围将组策略分为三类:
1] 站点的组策略:设置对于这个站点生效。
2]域的组策略:设置对于整个域都生效。
3]OU的组策略:设置对于这个的OU生效。
3、描述GPO与AD容器相连的信息存储在容器的两个属性里:
gPLINK 和 gPOPTION。
gPLINK属性包含链接到容器的GPO顺序表
gPOPTION属性包含了阻止任何GPO继承的容器设置
4、不能将GPO与计算机或用户相连。
可将单个GPO和多个站点、域以及组织单元链接
可将多个GPO和单个站点、域以及组织单元链接
5、组策略的执行顺序:
1]站点à域à组织单元(OU)
2]计算机配置à用户配置
3、
组策略的继承性
根据win2003执行GPO的顺序是基于它们要连接的活动目录的容器上,并会从上往下执行组策略(具体如上图)。
1、
W2003 GPO应用的继承顺序为:从SITEàDomainà上层OUà下层OU,注意域并不像组织单元有父组织单元、子组织单元等那样的继承关系。
2、
一般情况下,域中的GP可从父容器传递到子容器。即为一个高级别的父容器指派特定GP时,则该GP将应用到该父容器下的所有容器,包括每个容器中的用户和计算机对象。
3、
策略继承与权限继承不同,策略继承为不可见。
4、
组策略的冲突与解决
当组策略由上往下执行时,可能在不同组策略中的同一项目的设置相反,这就是组策略冲突。如:在站点组策略中,“隐藏桌面上的网上邻居图标”设置为“启用”,而域的组策略上设置的是“禁用”。再如:在域的组策略中“密码长度”设置为“7”,而OU的组策略中设置的是“6”。
当冲突发生时确定应用哪个组策略设置的原则是:后执行的是结果。
A、
来自父容器的GPO设置与子容器的GPO设置冲突时,子容器的设置较后应用并发挥作用。
B、
连接到同一容器上的不同GPO的设置冲突时,位于容器属性对话框中GPO列表中最高位置的GPO设置较后应用并发挥作用。
什么是组策略(Group Policy/GP)
组策略用来管理网络环境中的用户和计算机,GP中定义了系统管理员管理工作所要的各种模板组件。大体可以进行5类管理任务:
A、
通过管理模片管理基于注册表的策略:可用来修改HKCU 和HKLM里的参数
B、
指派脚本:启动、关机、登入、登出等脚本
C、
重定向文件夹
D、
管理应用程序
E、
指定安全选项
组策略中包含两部分:
1]计算机配置:针对计算机的配置,只在计算机上生效。计算机启动的时候应用,在出现登录界面前。
2]用户配置:针对用户的配置,只在所有用户帐户上生效。用户登录后应用。
两者都包括以下三个子项:
A、
软件设置:包括软件指派,发布、更新、修复和软件的设置
B、
Windows设置:包括文件夹重定向、安全设置和登入、登出脚本
C、
管理模板:2003的管理模版存储在GPT中的Registry.pol文件中,其有两个文件,一个用于计算机设置,一个用户用户设置。
GPO(Group Policy Object)组策略对象:包含多种Windows组策略设置的集合,存储在:GPC和GPT两个位置:
GPC(Group Policy Container)组策略容器:GPC存储在活动目录中,包含GPO属性和版本信息的AD对象。可让计算机访问它来查找GPT,域控制器能够访问它来获得版本信息
GPT(Group Policy Template)组策略模板:GPT存储在SYSVOL目录中,包含所有的组策略设置和信息,包括管理模版、安全性、软件安装、命令和文件夹重定向设置。路径为%Systemroot%/SYSVOL\sysvol
2、
GPO的应用与顺序:
1、GPO可应用到站点(SITE)、域(Domain)或组织单元(OU),当要将GPO应用到SITE、Domain或OU时,需将GPO链接到组策略是相应的容器中。
2、根据应用范围将组策略分为三类:
1] 站点的组策略:设置对于这个站点生效。
2]域的组策略:设置对于整个域都生效。
3]OU的组策略:设置对于这个的OU生效。
3、描述GPO与AD容器相连的信息存储在容器的两个属性里:
gPLINK 和 gPOPTION。
gPLINK属性包含链接到容器的GPO顺序表
gPOPTION属性包含了阻止任何GPO继承的容器设置
4、不能将GPO与计算机或用户相连。
可将单个GPO和多个站点、域以及组织单元链接
可将多个GPO和单个站点、域以及组织单元链接
5、组策略的执行顺序:
1]站点à域à组织单元(OU)
2]计算机配置à用户配置
3、
组策略的继承性
根据win2003执行GPO的顺序是基于它们要连接的活动目录的容器上,并会从上往下执行组策略(具体如上图)。
1、
W2003 GPO应用的继承顺序为:从SITEàDomainà上层OUà下层OU,注意域并不像组织单元有父组织单元、子组织单元等那样的继承关系。
2、
一般情况下,域中的GP可从父容器传递到子容器。即为一个高级别的父容器指派特定GP时,则该GP将应用到该父容器下的所有容器,包括每个容器中的用户和计算机对象。
3、
策略继承与权限继承不同,策略继承为不可见。
4、
组策略的冲突与解决
当组策略由上往下执行时,可能在不同组策略中的同一项目的设置相反,这就是组策略冲突。如:在站点组策略中,“隐藏桌面上的网上邻居图标”设置为“启用”,而域的组策略上设置的是“禁用”。再如:在域的组策略中“密码长度”设置为“7”,而OU的组策略中设置的是“6”。
当冲突发生时确定应用哪个组策略设置的原则是:后执行的是结果。
A、
来自父容器的GPO设置与子容器的GPO设置冲突时,子容器的设置较后应用并发挥作用。
B、
连接到同一容器上的不同GPO的设置冲突时,位于容器属性对话框中GPO列表中最高位置的GPO设置较后应用并发挥作用。
因为可将GPO进行复杂联合,从而可能会导致组策略对象设置的冲突,这时可用两种方法来修改黓认继承的顺序:禁止替代(No Override)、阻止策略继承(Block Policy inheritance)
No Override:阻止子容器GP设置代替父容器的设置。当不止一个GP设置为NO Override时,在AD层次结构中位于最顶层的GPO具有最高优先级别。
即当用户勾选No Override复选框后,就会强迫所有子策略容器继承父策略,即使这些策略与子策略有冲容,或为子容器设置了Block Policy inheritance
Block Policy inheritance:强迫子对象容器 阻止 从父对象容器中继承策略设置。一般用于某个组织需要一个单的组策略设置时。
如果No Override和Block Policy inheritance选项冲突时,No Override选项具有更高的优先权
5、
组策略的筛选
筛选是用来修改组策略继承性的另一种方式,筛选将允许你阻止GPO和它的设置应用在容器内部个别特定计算机、用户以及安全组。
6、
Windows管理规范(WMI)
WMI过滤使管理员可以基于配置、角色或其它标准是否在指定计算机或用户上应用一个GPO(如下图)。如基于磁盘剩余空间决定是否安装某一软件。可使用WMI过滤用户或计算机的属情来决定GPO的作用范围。WMI筛选器是用WQL语言编写,类似SQL查询。相关应用例子见教材。
即当用户勾选No Override复选框后,就会强迫所有子策略容器继承父策略,即使这些策略与子策略有冲容,或为子容器设置了Block Policy inheritance
Block Policy inheritance:强迫子对象容器 阻止 从父对象容器中继承策略设置。一般用于某个组织需要一个单的组策略设置时。
如果No Override和Block Policy inheritance选项冲突时,No Override选项具有更高的优先权
5、
组策略的筛选
筛选是用来修改组策略继承性的另一种方式,筛选将允许你阻止GPO和它的设置应用在容器内部个别特定计算机、用户以及安全组。
6、
Windows管理规范(WMI)
WMI过滤使管理员可以基于配置、角色或其它标准是否在指定计算机或用户上应用一个GPO(如下图)。如基于磁盘剩余空间决定是否安装某一软件。可使用WMI过滤用户或计算机的属情来决定GPO的作用范围。WMI筛选器是用WQL语言编写,类似SQL查询。相关应用例子见教材。
7、
组策略的链接
1、所有的GPO都被存储在Active Directory的容器中。
2、当一个GPO要应用于一个站点、域或组织单位时,该GPO将被链接到组策略对象容器中。如下图。
8、
指定管理GPO的域控制器
1、解决多个管理员同时在不同DC对相同GPO做出修改时更新的冲突。
2、缺省的对组策略修改时将会连接到PDC模拟角色的域控制器上实施。可以指定下面3种DC来管理GPO:
Ø
The one with the Operations Master token for the PDC emulator。默认选项
Ø
The one used by the Active Directory Snap-ins:使用当前活动目录管理单元使用的域控制器。
Ø
Use any avaiable domain controller:可用任何可用能的域控制器,多数不用些选项。
指定管理GPO的域控制器(见教材第六本之P145)
9、
设置每个组策略项目可用的三种操作属性:
Ø
启用(Enabled):将启用与该组策略设置的相应行为,并把引起的变化添加到合适的Registry.pol文件中。
Ø
已禁止(Disabled):防止该设置实现,并把引起的变化添加到合适的Registry.pol文件中。
Ø
未配置 (Not Configured):缺省配置即忽略该设置,不对计算机产生任何变化,该状态并不在注册中指定具体的值。
10、
组策略的处理:
当域中计算机启动à运行组策略中对计算机的设置à域用户登录à运行组策略中对用户的设置。
当更改组策略后,域控制器每5分钟刷新一次,成员服务器每90分钟刷新一次,带有30分钟时间偏离量。需要处理的GPO列表是由一个Win32函数GetGPPList来确定的。
组策略的处理发生的客户端,通过许多客户端扩展的不同动态链接库(DLLs)来处理
11、
组策略中的回送处理模式处(Loopback Processing)
把组策略应用到用户或计算机上是基于用户对象或计算机对象在活动目录中的位置
替代模式(Replease mode):处理应用于计算机的GPO
合并模式(Merge mode):首先处理应用于用户对象的GPO,然后处理应用于计算机对象的GPO。发生冲突时,计算机对象设置生效
12、
需要知道的操作方法:
1、如何指派计算机启动(Startup)、关机(Shutdown)脚本、指派用户登录(Logon)、注消(Logoff)脚本。
2、启动(Startup)和关机(Shutdown)脚本是以Local System身份运行的。具有作为本地系统运行所需的所有权限。
3、组策略对用户环境的管理(管理用户和计算机、桌面、网络连接、安全设置、配置软件)
4、操作方法:创建、链接、断开、删除、禁止、拷贝、备份、还原GPO
指派脚本:
脚本(Script)可以是一个BAT文件,或VB Script编写的可执行文件等,可实现许多管理工作。在组策略中可指定运行在W2003中任何脚本。包括:
Ø
批处理文件
Ø
可执行文件
Ø
Windows脚本本台所支持的脚本
Ø
实现GP不能实现的任务:如用脚本来建立网络连接,打印机连接和应用程序快捷方式。
Ø
开机时定制桌面,注销并关闭时清理桌面
13、
文件夹重定(Folder Redirection)
就是将某些特殊文件目录重定向到网络服务器的共享目中来,这样便于集中管理、备份数据。W 2003中可对4种特殊文件夹的重定向
Ø
My Documents
Ø
桌面
Ø
开始菜单
Ø
应用程序数据
设置文件夹重定向的好处:
1、使用漫游用户配置时,只漫游用户配置文件一部分,而不是文件夹本身
2、用户登入到网络上不同计算机,其文档始终可用
3、笔记本电脑可使用脱机文件(Offline Files)技术,即使不连上网络时也可使用
4、可用磁盘限额来配置用户可用的磁盘空间
5、可集中备份网络文件夹的存储的数据
6、可将特殊数据重定向到与系统文件磁盘分离。
设置文件夹重定向目的地的有三种方法:
A、
Basic-Redirection everyone’s folder to the same location
即将每个用户的文件夹重定向到一个位置,目标目录可以是:
用户的主目录
在根目录路径下为每个用户创建一个文件夹
重定向到下列位置
重定向到本地用户配置文件位置
B、
Advanced-Specify locations for various user groups
可根据用户名或安全组来将文件夹指定到不同位置。
C、
Not configured:表明对文件夹没有任何影响
在作文件夹重定向时,系统可根据需要自动创建文件夹。当自动建立文件夹后将会自动设置正确的权限。可为设置文件夹重定向时需要考虑以下重定向文件夹所需的共享权限 和 NTFS权限(具体见教材)
具体需要掌握的操作:
1、设置Application Data文件夹重定向
2、设置Desktop文件夹重定向
3、设置My Documents文件夹重定向
4、设置Start Menu文件夹重定向
14、
测试组策略应用的命令与工具:
Gpresult:显示用户登录计算机时被应用的策略设置和策略的结果集(RSoP)
Gpresult /s Computer /u Domain\User
/p Password
/scope
{user | computer}
/v
/z
/s Computer:指定远程计算机的名称或IP地址,默认为本地计算机
/u Domain\User:指定用户帐号权限运行该命令
/p Password: /u参数中指定的用户帐号密码
/scope {user | computer}:显示User 或Compter的结果
/v:指定输出显示详细的策略信息
/z:指定输出显示关于组策略的所有可用信息,建议重向到文本文件中(gpresult
/z
>policy.txt)
Gpupdate:用于刷新本地组策略设置 和 刷新存储在AD中的组策略设置(缺省工作站90分钟,域控上5分钟刷新一次)
Gpupdate /target:{computer|user}
/force
/logoff
/boot
/force:忽略所有处理优化并重新应用所有设置
/logoff:刷新完成后才注销
/boot:刷新完成后重新启动计算机
组策略报告:对组策略将会产生效果形成一份HTML报告来进行验证。可以由GPMC形成。
组策略模拟(Gropu Policy Modeling):用来模拟一个GPO配置。这个模拟过程将考虑到用户的OU、计算机的OU、任何组的成员或WMI筛选以及组策略的继承问题和冲突来生成一份报告。应用环境必须是在Windows 2003DC上执行。
组策略结果(Gropu Policy Results):与组策略模型产生的数据极为类似,只是前者为客户机上获取的实际RsoP数据,而后者是模拟结果。
15、
组策略部署和管理软件
即通过使用一个节点、域或组织单元(OU)内的用户或计算机的组策略设置,来为这个节点、域或组织单元(OU)内的用户或计算机自动安装、升级或删除软件。
使用组策略进行软件部署需要4个步骤:
1、获取一个Windows安装程序包文件,必须包含一个.msi文件及相关安装文件。
2、将安装文件都放到软件分发点上。分发点就是服务器上的一个共享目录。
3、创建或修改GPO。
4、配置GPO以部署应用程序。
使用组策略发布软件时,软件所在的共享目录,最好位于同一个域内的成员机上。并保证此机器开放共享、共享文件夹的访问权限包含everyone的读权限。
分配软件(Assigning Software) 和 发布软件的区别(Publishing Software)
分配软件:确保用户需要时可以使用或自动安装软件。
Ø
分配给用户:用户从任一电脑登录时,都可在桌面或开始菜单中看到软件快捷方式,在用户打开应用程序或与应用程序关联的文件类型前,软件没有安装到电脑。
Ø
分配给计算机:在计算机启动时,软件自动安装。
发布软件:将软件发布后,就可以在计算机上进行软件安装。可用两种方法:
Ø
使用Add/Remove Programs安装
Ø
打开相关联的文件,使用文档激活的方法安装
什么是权利(Right)
1、权利即批准用户在系统中可执行特定的操作,如关闭系统、备份或还原文件、本地登录、终端登录等
2、权利将作用于整个系统,而非单个指定资源,系统为Builtin组预先分配某些权利。
3、权利一般都分配给组,不建议直接分配给用户
4、通常有两种类型用户权利:特权 和 登录权利
组策略的链接
1、所有的GPO都被存储在Active Directory的容器中。
2、当一个GPO要应用于一个站点、域或组织单位时,该GPO将被链接到组策略对象容器中。如下图。
8、
指定管理GPO的域控制器
1、解决多个管理员同时在不同DC对相同GPO做出修改时更新的冲突。
2、缺省的对组策略修改时将会连接到PDC模拟角色的域控制器上实施。可以指定下面3种DC来管理GPO:
Ø
The one with the Operations Master token for the PDC emulator。默认选项
Ø
The one used by the Active Directory Snap-ins:使用当前活动目录管理单元使用的域控制器。
Ø
Use any avaiable domain controller:可用任何可用能的域控制器,多数不用些选项。
指定管理GPO的域控制器(见教材第六本之P145)
9、
设置每个组策略项目可用的三种操作属性:
Ø
启用(Enabled):将启用与该组策略设置的相应行为,并把引起的变化添加到合适的Registry.pol文件中。
Ø
已禁止(Disabled):防止该设置实现,并把引起的变化添加到合适的Registry.pol文件中。
Ø
未配置 (Not Configured):缺省配置即忽略该设置,不对计算机产生任何变化,该状态并不在注册中指定具体的值。
10、
组策略的处理:
当域中计算机启动à运行组策略中对计算机的设置à域用户登录à运行组策略中对用户的设置。
当更改组策略后,域控制器每5分钟刷新一次,成员服务器每90分钟刷新一次,带有30分钟时间偏离量。需要处理的GPO列表是由一个Win32函数GetGPPList来确定的。
组策略的处理发生的客户端,通过许多客户端扩展的不同动态链接库(DLLs)来处理
| 客户端扩展 |
组策略设置 |
| Userenv.dll |
基于注册的设置(管理模板) |
| Dskquota.dll |
磁盘限额设置(管理模板) |
| Fdeploy.dll |
文件夹重定向设置 |
| Gptext.dll |
命令和IPSec设置 |
| Appmgmts.dll |
软件安装 |
| Scecli.dll |
安全性和加密文件系统覆盖设置 |
| Ledkcs32.dll |
IE界面设置 |
11、
组策略中的回送处理模式处(Loopback Processing)
把组策略应用到用户或计算机上是基于用户对象或计算机对象在活动目录中的位置
替代模式(Replease mode):处理应用于计算机的GPO
合并模式(Merge mode):首先处理应用于用户对象的GPO,然后处理应用于计算机对象的GPO。发生冲突时,计算机对象设置生效
12、
需要知道的操作方法:
1、如何指派计算机启动(Startup)、关机(Shutdown)脚本、指派用户登录(Logon)、注消(Logoff)脚本。
2、启动(Startup)和关机(Shutdown)脚本是以Local System身份运行的。具有作为本地系统运行所需的所有权限。
3、组策略对用户环境的管理(管理用户和计算机、桌面、网络连接、安全设置、配置软件)
4、操作方法:创建、链接、断开、删除、禁止、拷贝、备份、还原GPO
指派脚本:
脚本(Script)可以是一个BAT文件,或VB Script编写的可执行文件等,可实现许多管理工作。在组策略中可指定运行在W2003中任何脚本。包括:
Ø
批处理文件
Ø
可执行文件
Ø
Windows脚本本台所支持的脚本
Ø
实现GP不能实现的任务:如用脚本来建立网络连接,打印机连接和应用程序快捷方式。
Ø
开机时定制桌面,注销并关闭时清理桌面
13、
文件夹重定(Folder Redirection)
就是将某些特殊文件目录重定向到网络服务器的共享目中来,这样便于集中管理、备份数据。W 2003中可对4种特殊文件夹的重定向
Ø
My Documents
Ø
桌面
Ø
开始菜单
Ø
应用程序数据
设置文件夹重定向的好处:
1、使用漫游用户配置时,只漫游用户配置文件一部分,而不是文件夹本身
2、用户登入到网络上不同计算机,其文档始终可用
3、笔记本电脑可使用脱机文件(Offline Files)技术,即使不连上网络时也可使用
4、可用磁盘限额来配置用户可用的磁盘空间
5、可集中备份网络文件夹的存储的数据
6、可将特殊数据重定向到与系统文件磁盘分离。
设置文件夹重定向目的地的有三种方法:
A、
Basic-Redirection everyone’s folder to the same location
即将每个用户的文件夹重定向到一个位置,目标目录可以是:
用户的主目录
在根目录路径下为每个用户创建一个文件夹
重定向到下列位置
重定向到本地用户配置文件位置
B、
Advanced-Specify locations for various user groups
可根据用户名或安全组来将文件夹指定到不同位置。
C、
Not configured:表明对文件夹没有任何影响
在作文件夹重定向时,系统可根据需要自动创建文件夹。当自动建立文件夹后将会自动设置正确的权限。可为设置文件夹重定向时需要考虑以下重定向文件夹所需的共享权限 和 NTFS权限(具体见教材)
具体需要掌握的操作:
1、设置Application Data文件夹重定向
2、设置Desktop文件夹重定向
3、设置My Documents文件夹重定向
4、设置Start Menu文件夹重定向
14、
测试组策略应用的命令与工具:
Gpresult:显示用户登录计算机时被应用的策略设置和策略的结果集(RSoP)
Gpresult /s Computer /u Domain\User
/p Password
/scope
{user | computer}
/v
/z
/s Computer:指定远程计算机的名称或IP地址,默认为本地计算机
/u Domain\User:指定用户帐号权限运行该命令
/p Password: /u参数中指定的用户帐号密码
/scope {user | computer}:显示User 或Compter的结果
/v:指定输出显示详细的策略信息
/z:指定输出显示关于组策略的所有可用信息,建议重向到文本文件中(gpresult
/z
>policy.txt)
Gpupdate:用于刷新本地组策略设置 和 刷新存储在AD中的组策略设置(缺省工作站90分钟,域控上5分钟刷新一次)
Gpupdate /target:{computer|user}
/force
/logoff
/boot
/force:忽略所有处理优化并重新应用所有设置
/logoff:刷新完成后才注销
/boot:刷新完成后重新启动计算机
组策略报告:对组策略将会产生效果形成一份HTML报告来进行验证。可以由GPMC形成。
组策略模拟(Gropu Policy Modeling):用来模拟一个GPO配置。这个模拟过程将考虑到用户的OU、计算机的OU、任何组的成员或WMI筛选以及组策略的继承问题和冲突来生成一份报告。应用环境必须是在Windows 2003DC上执行。
组策略结果(Gropu Policy Results):与组策略模型产生的数据极为类似,只是前者为客户机上获取的实际RsoP数据,而后者是模拟结果。
15、
组策略部署和管理软件
即通过使用一个节点、域或组织单元(OU)内的用户或计算机的组策略设置,来为这个节点、域或组织单元(OU)内的用户或计算机自动安装、升级或删除软件。
使用组策略进行软件部署需要4个步骤:
1、获取一个Windows安装程序包文件,必须包含一个.msi文件及相关安装文件。
2、将安装文件都放到软件分发点上。分发点就是服务器上的一个共享目录。
3、创建或修改GPO。
4、配置GPO以部署应用程序。
使用组策略发布软件时,软件所在的共享目录,最好位于同一个域内的成员机上。并保证此机器开放共享、共享文件夹的访问权限包含everyone的读权限。
分配软件(Assigning Software) 和 发布软件的区别(Publishing Software)
分配软件:确保用户需要时可以使用或自动安装软件。
Ø
分配给用户:用户从任一电脑登录时,都可在桌面或开始菜单中看到软件快捷方式,在用户打开应用程序或与应用程序关联的文件类型前,软件没有安装到电脑。
Ø
分配给计算机:在计算机启动时,软件自动安装。
发布软件:将软件发布后,就可以在计算机上进行软件安装。可用两种方法:
Ø
使用Add/Remove Programs安装
Ø
打开相关联的文件,使用文档激活的方法安装
什么是权利(Right)
1、权利即批准用户在系统中可执行特定的操作,如关闭系统、备份或还原文件、本地登录、终端登录等
2、权利将作用于整个系统,而非单个指定资源,系统为Builtin组预先分配某些权利。
3、权利一般都分配给组,不建议直接分配给用户
4、通常有两种类型用户权利:特权 和 登录权利
下一篇:组策略详细设置
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
AD 组策略 | 服务器管理 | 组策略计算机配置
上一篇介绍组策略是 Windows AD 活动目录中的一项管理功能,用于在网络中集中管理计算机和用户的配置。组策略允许系统管理员通过定义规则和设置,对计算机和用户的行为进行控制。其中,计算机配置和用户配置两个关键功能。今天我们以计算机配置为例进行操作展示。想想关于计算机配置里面的所有配置项在200左右(这个回头我可以统计下),统一管理成千上万台客户端和服务器。那效率咋样? - **系统级设置:** 计算机配置允许我们定义适用于整个计算机的设置。包括安全设置、脚本执行、网络设置等。 - **软件部署:** 我们可以使用计算机配置来部署软件和应用程序,确保特定计算机上安装了所需的软件。
AD 组策略管理 AD GPO 配置 AD 域策略 域策略计算机配置 组策略管理 -
设计模式-策略模式
设计模式之策略模式
策略模式 设计模式 -
组策略禁止使用USB
域环境下禁用USB口设备。请问如何在域环境下,禁用客户端的USB接口 回答:根据您的需求, Windows识别USB设备主要通过两个文件,一个是Usbstor.pnf、另外一个是Usbstor.inf,当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标。1、打开Active Directory用户和计算机;2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;
组策略 禁止 usb 组策略 禁用usb 组策略禁止usb 组策略限制usb 组策略关闭usb
举报文章
请选择举报类型
内容侵权
涉嫌营销
内容抄袭
违法信息
其他
补充说明
0/200
上传截图
格式支持JPEG/PNG/JPG,图片不超过1.9M
如有误判或任何疑问,可联系 「小助手微信:cto51cto」申诉及反馈。
我知道了
