一、什么是组策略

    组策略（GroupPolicy）是Microsoft Windows系统管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。

二、为什么需要组策略

    注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

    其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

三、组策略的两种配置

    Ø  计算机配置：

        当计算机开机时，系统会根据计算机配置的内容来设置计算机环境。包括桌面外观、安全设置、应用程序分配和计算机启动和关机脚本运行等。

    Ø  用户配置：

        当用户登录时，系统会根据用户配置的内容来设置计算机环境。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。

四、组策略类型

    Ø  域内的组策略：（优先级从上到下依次降低）

    域内的策略会被应用到域内的所有计算机和用户

        1. 站点策略

        2. 域策略

        3. 组织单元策略

    Ø  本地计算机策略：

        1. 计算机配置只会应用在此计算机

        2. 用户策略将应用到在此计算机登录的所有用户

五、计算机本地策略

本地计算机组策略控制台

1.计算机配置实例

1.1.不显示关机理由

1.2.账号密码策略

1.3.账户锁定策略

1.4.用户权限分配

1.5.安全选项

2.用户配置实例

2.1.删除“开始”菜单中的“运行”

运行取消成功

2.2.将“控制面板”中的“Windows防火墙”隐藏起来

六、组策略对象（GPO）

Ø  组策略有继承性、累加性

Ø  当组策略有冲突时，则以处理顺序在后的GPO为优先，而系统处理GPO的顺序是：站点GPO→域→组织单位的GPO→本地计算机策略最低。

Ø  计算机配置优于用户配置

Ø  多个配置应用到同一处，排在前面的组策略优先

1.组策略管理

AD DS中两个内置GPO

第一个是默认域控制器策略

第二个是默认域策略

2.策略设置与首选项设置

！策略设置是强制的，首选项设置是非强制的

！策略设置针对整个GPO来过滤，首选项设置可针对单一项目来过滤

！策略设置优先首选项设置

！ 应用首选项设置须安装CSE软件

3.计算机配置的应用时限

Ø  计算机配置的应用时限

        ü  计算机开机时

        ü  计算机开机后，域控制器每5分钟自动应用一次

        ü  计算机开机后，非域控制器每90－120分钟自动应用一次

        ü  计算机开机后，系统每16小时自动运行一次

        ü  手动应用

Ø  用户配置的应用时限

        ü  用户登录时会自动应用

        ü  用户登录后，系统每90－120分钟自动应用一次，系统每16小时自动运行一次

        ü  手动应用

4.计算机配置实例

4.1.允许普通用户在域控制器登陆

依次是

账户管理员、

管理员（必须添加）、

备份管理员、

打印管理员、

服务管理员、

用户

应用后更新

4.2.设置密码策略

4.3.账户锁定策略

4.4.Windows防火墙设置

计算机配置→策略→管理模板→网络→网络连接→Windows 防火墙→域配置文件

4.5.时间提供程序

4.6.禁止安装可移动设备

计算机配置→策略→管理模板→系统→设备安装→设备安装限制

5.用户配置实例

要求指定用户只能通过企业内的代理服务器上网

新建Internet设置（按你IE版本来选）

注意下面的虚线，代表着配置了没有更新

按F5进行更新后确认

应用确定

禁用用户IE浏览器自动配置设置

域用户测试

更新策略（已经登陆了域用户打cmd命令更新，没有的在登陆时会自动更新）

测试成功

6.使用组策略发布软件

Ø  将软件分配给用户：

    当将一个软件通过组策略分配给域内的用户后，则用户在域内的任何一台计算机登录时，这个软件都会被“通告”给该用户，但这个软件并没有真正的被安装，而只是安装了与这个软件有关的部分信息。只有在以下两种情况下，这个软件才会被自动安装：

    1. 开始运行此软件： 例如用户登录后执行操作：“开始”→“控制界面”→“添加或删除程序”→“添加程序”单击该软件的快捷方式，或是双击桌面上的快捷方式后，就会自动安装此软件。

    2. 利用“文件启动”功能： 例如假设这个被“通告”的程序为Microsoft Excel，当用户登录后，他的计算机会自动将扩展名为.xls的文件与Microsoft Excel关联在一起，此时用户只要双击扩展名为.xls的文件，系统就会自动安装Microsoft Excel。

Ø  将软件分配给计算机：

    当将一个软件通过组策略分配给域内的计算机后，在这些计算机启动时，这个软件就会自动安装在这些计算机里，而且是安装到公用程序组内，也就是安装到Documents and Settings\All Users文件夹内。任何用户登录后，都可以使用此软件。

6.1.自动修复软件

    一个被发布或分配的软件，在安装完成后，如果此软件程序内有关键的文件损坏、遗失或被用户不小心删除，系统会自动探测到此不正常现象，并且会自动修复、重新安装此软件。

    

6.2.准备工作

步骤1：在服务器上创建共享文件夹把文件夹共享出来，确保组策略会影响到的各用户对目录至少具有读的权限。

步骤2：在客户端测试是否可以正常访问共享文件夹。

步骤3：准备合适的被部署软件，把软件拷贝到共享文件夹下，可以根据需要建立子文件夹。组策略对被部署的软件有一定的要求，通常是MSI文件，如果是EXE文件，请按照后面小节介绍的方法打包。

6.3.实训项目

提前准备两种格式的文件：.msl和.zap

这里发布的是.zap文件

测试

在客户端，以“行政部”组织单元下的用户登录到域，从“开始”à“程序”菜单中，应该可以看到“MicrosoftActiveSync”菜单，如图。该软件并未实际安装，单击该菜单项可以开始安装。应该把域用户加入到本地的管理员组中，否则安装软件会失败。

6.4.使用ZAP文件来包装EXE文件

步骤1：把被发布的文件（这里用的是“Winrar-x64-540scp.exe”）拷贝到共享文件夹下。

步骤2：在和EXE同一目录下，创建以“.ZAP”为后缀的文件，内容为：

[Application]

Friendlyname="TEST"

Setupcommand=\\Win2012-1\新建文件夹\winrar-x64-540scp.exe（被发布文件的地址）

保存并修改文件的后缀名

步骤3：发布ZAP文件。在组策略的编辑窗口中，依次展开“用户配置”à“策略”à“软件设置”à“软件安装”，右击“软件安装”新建数据包。在如图15-34窗口的右下角的列表框中选择“ZAW与早期版本应用程序数据包（*.ZAP）”，把ZAP文件进行发布。

步骤4：在客户端上，从“控制面板”à“添加或删除程序”à“添加新程序”窗口，可以看到新发布的程序，双击它就可以进行安装了。 

6.5.升级软件

 }  使用组策略对软件进行升级有两种方法：一种是软件本身能够识别版本，例如Microsoft  Office 2007能够检测计算机上安装的Microsoft  Office 2003，对于这种软件只需把新版的软件部署即可，用户在安装新版软件时就能升级旧版的软件；

 }  另一种是软件本身不能识别版本，我们可以通过组策略把旧版软件删除，再安装新版的软件。 

6.6删除软件

个被发布或分配的软件，在用户将其安装完成后，如果不想再让用户使用此软件，只要将该程序从组策略内发布或分配的软件清单删除，并设置下次用户登录或计算机启动时删除，系统会自动删除这个软件。 

PS：以上实验为亲自测试成功，实验外的图片部分来自网络，知识点为书中和网络文献整理所得，如有侵权既删。