组策略在机房管理实践与应用.docVIP

组策略在机房管理实践与应用 　　摘要：本文论述了组策略的概念、功能及应用规则，针对系统保护、用户环境管理、应用软件升级安装及维护等机房管理难题。 　　关键词：组策略；机房管理 　　Abstract: this paper discusses the concept of the group policy, function and application rules, in view of the system protection, environment management and application software users upgrade installation and maintenance computer room management problem. 　　Keywords: group policy; Computer room management 　　中图分类号：TP308文献标识码：A 文章编号： 　　组策略作为Windows操作系统自带的强大的设置管理工具，其基本原理是通过修改注册表中相应的配置项目来管理计算机。组策略也是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。 　　1组策略概念 　　简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 　　1.2组策略的应用规则 　　组策略的影响范围非常广泛，域内所有的用户与计算机都可能受到它的约束，因此，应在应用组策略之前进行详细的规划，已让其能顺利地运行。应用组策略需要注意两个规则，一个是组策略的继承，一个是策略的累加。 　　2 应用组策略 　　2.1禁用注册表编辑器 　　为防止他人进入电脑后对注册表文件进行任意修改，可以在组策略中对注册表编辑器做禁止访问设置。具体操作：在域组策略编辑器中依次选择“用户配置”→“管理模板”→“系统”，然后双击“阻止访问注册表编辑工具”，启用此策略。 　　2.2退出时不保存电脑设置 　　对于没安装还原保护卡的机房，可以用组策略设置一下系统，使其退出电脑时不保存设置。其设置方法如下：在域组策略编辑器中,依次选择“用户配置” →“管理模板” →“桌面”，双击“退出时不保存设置”，启用此策略。 　　2.3禁止“添加/删除程序” 　　如果想阻止一些学生安装或卸载程序，可利用组策略来实现。打开“域组策略控制台”→“用户配置”→“管理模板”→“控制面板”→“添加删除程序”中的“删除添加/删除程序”，并启用此策略。通过组策略的设置，可以很好地起到保护计算机中系统文件及应用程序的作用。 　　2.4禁止他人非法更改地址 　　通过设置系统组策略，来达到禁止他人非法更改IP地址的目的，其设置如下：在域的组策略编辑窗口中，用鼠标逐一展开左侧列表区域中的 “用户配置” →“管理模板” →“网络” →“网络连接”分支选项，在对应“网络连接”分支选项的右侧列表区域中用鼠标双击“禁止访问LAN连接的属性”选项，打开“禁止访问LAN连接的属性”设置窗口，将该设置窗口中的“已启用”项目选中，单击“确定”按钮退出组策略编辑窗口。 　　2.5禁止更改壁纸 　　设置方法为：在域的组策略窗口左侧的中依次展开“用户配置→管理模版→桌面→Active Desktop”。随后在右窗口中双击“Active Desktop壁纸”策略项，弹出一个设置对话框，首先点选“已启用”单选项，这时下面的文本框已被激活，其中在“壁纸名称”项中键入墙纸图像文件所在的文件夹和名称。并且在下面的“壁纸样式”中指定墙纸是否居于中央、是否平铺或拉伸等设置，在此我们可以根据需要选择，然后单击“确定”按钮即可。 　　3 利用GPO实现软件的设置 　　3.1利用GPO（组策略对象）分发软件 　　利用GPO设置软件分发策略可以实现容器下所有的计算机和用户的软件管理，大大减少了机房管理员的工作量。 　　3.2分发软件的步骤 　　(1)获取Windows安装程序包文件；该软件包包含一个.msi文件以及必要的相关安装文件。 　　(2)将软件安装文件放到一个软件分发点。 　　(3)创建或修改GPO（包含软件安装的内容）。 　　3.3修复软件 　　机房管理员利用GPO不但可以方便地为域中的用户和计算机分发软件，还可以方便地修复软件。如果用户的软件发生文件丢失或损坏时，用户端系统会自动检测到这一错误，并从原来的软件分发点重新复制正确的文件修复。 　　当用户端不能修复软件时，管理员应立即重新复制一份正常的文件到原来的分发点上，并打开“组策略编辑器”窗口，选择源文件已更新的程序包，执行“重新部署应用程序”命令，