組策略是ActiveDirectory中非常重要的一项技术.docVIP

组策略是Active Directory中非常重要的一项技术，很多朋友都听说过组策略对于管理的重要意义，也明白有些疑难问题可以用传说中的“策略”来解决。但并不清楚组策略该如何理解，如何部署，如何管理。今天起我们将组织一系列的博文为大家介绍组策略的来龙去脉，力争让大家可以更好地利用组策略来完善管理工作。 我们首先从组策略的概念谈起，什么是组策略呢？组策略是一个允许执行针对用户或计算机进行配置的基础架构。这个概念听起来有些晦涩，不太容易理解。其实通俗地说，组策略和注册表类似，是一项可以修改用户或计算机设置的技术。那组策略和注册表的区别在哪儿呢？注册表只能针对一个用户或一台计算机进行设置，但组策略却可以针对多个用户和多台计算机进行设置。这个你明白组策略的优点了吧，在一个拥有1000用户的企业中，如果我们用注册表来进行配置，我们可能需要在1000台计算机上分别修改注册表。但如果改用组策略，那只要创建好组策略，然后通过一个合适的级别部署到1000台计算机上就可以了。 组策略和Active Directory结合使用，可以部署在OU，站点和域的级别上，当然也可以部署在本地计算机上，但部署在本地计算机并不能使用组策略中的全部功能，只有和Active Directory配合，组策略才可以发挥出全部潜力。组策略部署在不同级别的优先级是不同的，本地计算机站点域OU。我们可以根据管理任务，为组策略选择合适的部署级别。 组策略对象存储在两个位置，链接GPO的Active Directory容器和域控制器上的Sysvol文件夹。GPO是组策略对象的缩写，GPO是组策略设置的集合，是 存储在Active Directory中的一个虚拟对象。GPO由组策略容器(GPC) 和组策略模板(GPT)组成，GPC包含GPO的属性信息，存储在域中每台域控制器活动目录中；GPT 包含GPO 的数据，存储在Sysvol 的 /Policies 子目录下。 组策略管理可以通过组策略编辑器和组策略管理控制台（GPMC），组策略编辑器是Windows操作系统中自带的组策略管理工具，可以修改GPO中的设置。GPMC则是功能更强大的组策略编辑工具，GPMC可以创建，管理，部署GPO，最新的GPMC可以从微软网站下载。 至此，我们对组策略的功能，结构和管理工具都有了一定的了解，下篇博文中我们将通过实例为大家介绍如何对组策略进行部署及管理。 在IT工程师的运维工作中，有很多没有技术含量的事务性操作是很令人头疼的，例如为客户机安装软件。有些朋友看到这里估计会很不以为然，想我等IT专业人士，纵横江湖多年，无论国内国外，正版盗版，安装个小小软件还不是手到擒来！其实不然，在一台机器上安装软件当然不难，要是让你在一千台机器上安装Office呢？想想看，要是用传统的方式一台一台地安装，操作者是很需要有一番直面惨淡人生的勇气的。 ???????? 因此，为客户机选择一种快速部署软件的解决方案就成了工程师们面临的一个问题。解决这个问题有多种备选方案，例如微软的SCCM，它在功能上非常令人满意，但是价格嘛….本文将为大家介绍一种性价比较高的软件部署解决方案－利用AD的组策略完成客户机软件部署。 ???????? 组策略部署软件的思路是把要部署的软件存储在文件服务器的共享文件夹中，然后通过组策略告知用户用户或计算机，某某服务器的某某文件夹有要安装的软件，赶紧去下载安装。这样一来，我们只要设置好组策略，就可以等待客户机自动进行软件安装了，完全不用在客户机上一一进行部署了。 ???????? 组策略进行软件安装有自己的特点，那就是组策略支持安装的软件不能是EXE格式。EXE是我们平时使用最多的可执行程序格式，组策略不支持EXE是个很大的遗憾，话又说回来了，要是组策略什么格式都支持，那SCCM的销售就要受影响了，呵呵。组策略支持的软件格式最好是MSI格式，ZAP或MST也是可以的。 ???????? 今天我们将通过一个实例为大家介绍如何通过组策略进行软件部署，拓扑如下图所示，Florence是域控制器，Istanbul是文件服务器，Perth是测试用的客户机。 ? ???????? 首先，我们要准备测试用的软件。我们准备的软件是微软的LiveWriter，这个软件想必各位博友是非常熟悉的，非常著名的离线博客工具。如图1所示，我们把LiveWriter存储在istanbul的一个共享文件夹中，大家可以看到程序的扩展名是MSI。 图1 ? 准备好了软件，我们就可以来设置组策略了。在Florence上打开Active Directory用户和计算机，如图2所示，右键点击人事部OU，准备为此OU创建一个组策略。人事部OU内有一个张建国用户，张建国用户使用的客户机就是Perth。 图2