灵活利用组策略做网络管理—微软系列讲座2

主讲人:孔文达
职业:微软金牌讲师(有这种职业吗?晕~~)
MSN:[email protected]
EMAIL:[email protected]

随堂笔记(较乱,请见谅!)

[组策略功能]
软件安装
开机、登陆、注销、关机脚本
文件重定向
控制IE属性
控制用户操作系统的诸多属性

[组策略组成(嵌入形式)]
GPO(Group Policy Object)
存储于活动目录数据库中的对象
包括以下两部分:
1、GPC(Container):存储于活动目录数据库,保存版本信息,如是否改变等等,占用空间较小;
2、GPT(Template):存储于SYSVOL文件夹(安装活动目录时创建)中,包含调整的所有内容;
SYSVOL目录包含以下最为重要两个文件:
Default Main Policy
Default Domain Control Policy

[组策略应用]
结构:
Site
Domain
OU
OU…
如果设置冲突,则按如下原则解决:
下级优先:OU>Domain>Site

[组策略的存储]
域控制器选项:
PDC模拟器:第一台DC
活动目录管理单元:当前DC
任何可用域控制器:所有当前有效DC

[组策略四大功能]

1、GPMC—编辑组策略的软件,推荐使用
2、软件安装
只是显示在开始程序里面,并提示新安装了程序,但是只有第一次使用才会进行安装
计算机配置:开机时生效
用户配置:登陆时生效
3、设定开机、登陆、注销、关机脚本
4、文件夹重定向
个人文件夹都存在指定位置了,方便管理,用户文件,即使管理员也不能查看
只能指定如下文件:
Application Data
桌面
我的文档
开始菜单
5、控制用户操作系统的诸多属性
举例:
软件限制策略
删除运行…

WMI筛选器
如:判断C:剩余空间
SELECT * FROM win32_logicaldisk WHERE name = “c” and freespace < 100000000(字节)

注意:组策略可自己扩展

[常用工具]
WMI tools:辅助写WMI筛选器
WinInstallLE:制作msi
DCGPOFix(resource-kit):生成刚才提到的误删除的两个极其重要的默认的policy

[常见问题]
设置了 并且注销重新登陆后依然没有生效?
法一、等待2小时
法二、使用命令gpupdate /force强制客户端和DC同步