活动目录—组策略在企业环境中的部署应用(3)

如果父组织单位具有未配置的策略设置，则子组织单位将不会继承。禁用的策略设置继承后也是禁用的。此外，如果父组织单位已经配置某策略设置（启用或禁用），而子组织单位并未配置同一策略设置，则子组织单位继承父组织单位的启用或禁用的策略设置。如果应用到父组织单位的策略设置与应用到子组织单位的策略设置兼容，则子组织单位就会继承父组织单位的策略设置，而且还会应用子组织单位的策略设置。如果为父组织单位配置的策略设置与为子组织单位配置的同一策略设置不兼容（因为在某种情况下设置是启用的，而在另一种情况下

- -

4

活动目录组策略在企业环境中的部署应用

设置是禁用的），子组织单位就不继承父组织单位的策略设置。子组织单位中的设置会得以应用。

2.2 阻止策略的继承

可以在子容器的组策略内，通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置，也就是直接以子容顺的组策略为其设置。如:图2-1，图2-2所示：

图2-1 子容器

图2-2阻止策略的继承

- -

5

活动目录组策略在企业环境中的部署应用

2.3 强迫继承策略

可以在父容器的组策略内，通过：“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置。如：图2-3，图2-4，图2-5所示：

图2-3父容器

图2-4 父容器组策略

- -

6

活动目录组策略在企业环境中的部署应用

图2-5 强迫继承策略

- -

7

活动目录组策略在企业环境中的部署应用

3 策略的对象

设置组策略的途径：

根据不同的计算机，可以在以下几个位置设置：“域安全策略”，“ Active Directory 用户和计算机”，“域控制安全策略”，“本地安全策略”。（均在“管理工具”内）如：图3-1所示：

图3-1 策略设置途径

以下利用“Active Directory 用户和计算机”来设置组策略。

开始—程序—管理工具--Active Directory 用户和计算机—选中“domain controllers”单机右键—属性—组策略（GPO）。

3.1 更改组策略

让DOMAIN USERS组内的所有成员都具备“本地登录”的权限。设置步骤： 1.开始—程序—管理工具--Active Directory 用户和计算机—选中“domain controllers”单机右键—属性—组策略（GPO）。如：图3-2所示：

- -

8

活动目录组策略在企业环境中的部署应用

图3-2 domain controllers

2.请选定“default domain controllers policy”，然后单击“编辑”。 3.出现“组策略”窗口—计算机配置—WINDOWS设置—安全设置—本地策略—用户权限分配—双击右侧的“拒绝在本地登录”。如：图3-3所示

图3-3 拒绝在本地登录

4．出现“安全策略设置”对话框—单击“添加用户或组”—将 DOMAIN USERS 增加到组内。如：图3-4所示：

- -

9

活动目录组策略在企业环境中的部署应用

图3-4 添加拒绝的用户

3.2 使组策略生效的方法

由于该建立的组策略不能马上生效，必须利用以下三种之一来达到目的。 1. 在“命令提示符”下，输入“secedit refreshpolicy machine_policy”让计算机配置生效，或是用户配置文件：则将machine_policy改为user_policy即可。如：图3-5所示：

图3-5 命令提示

2.将此计算机重启。

3.等待此策略应用到计算机内。

- -

10

活动目录组策略在企业环境中的部署应用

4 策略在公司中的应用实例

在公司不同的部门对软件和一些材料的需求各不相同，为了更好的管理与区分我们就需要按需定制，如：哪些用户可使用的软件有哪些，对哪些文档具有哪些权限，和一些上网行为的规范。

4.1 部署应用程序

通过组策略可以为计算机和用户来部署应用程序。这就是说：

A.将应用程序分部给用户：当某个应用程序通过GPO被发布给用户后，用户可以自行增加/删除应用程序。

B.将应用程序指派给用户或计算机：当某个应用程序通过组策略的GPO被反映派给用户后，则用户在登录时，这个应用程序就会被“广告”给用户，但这个应用程序并不真正安装，只是提供了一些安装信息，等你应用时才会安装。如果指派给计算机，计算在启动时，就会自动安装应用程序。

C.自动修复应用程序：一个被发布或指派的应用程序，当应用程序受到破坏时，当用户登录或计算机重启时，会自动修复的。

D.删除用户应用程序：一个被发布或指派的应用程序，当用户安装完以后，若不想再让用户使用此程序，只要将应用程序从GPO内删除即可。 一、发布应用程序

建立安装WINDOWS安装程序包的文件夹

1. 请在任何一台服务器上建立一个文件夹，例如：C：\\packages，这个文件夹是要用来存储应用程序的。

2. 将此文件夹设置为共享，并给一个共享名。因为网络上的用户必须UNC路径来访问，所以要设置共享。

3. 将应用程序复制到共享文件夹内。如：图4-1所示：

- -

11

活动目录组策略在企业环境中的部署应用

图4-1 共享文件夹

设置默认程序包位置

1.“活动目录用户和计算机”—域名—属性—组策略—选定GPO— 编辑—用户配置—软件设置—软件安装。如：图4-2，图4-3所示：

图4-2 选定的GPO

- -

12

活动目录组策略在企业环境中的部署应用

图4-3 软件安装

2.“软件安装”—属性。

3. 出现“默认程序包位置”输入框。在此输入：应用程序的存储位置，注意是UNC路径。\\\\计算机名\\共享文件夹--确定。如：图4-4所示：

图4-4 UNC路径

发布应用程序

- -

13

活动目录组策略在企业环境中的部署应用

4.回到“软件安装”—新建—“程序包”。如：图4-5所示

图4-5 新建程序包