运用组策略做好软件的布署与软件使用的限制

[ 1497 查看 / 2 回复 ]

返回列表

水里的茶叶

组别注册会员
生日
帖子21
积分52
性别
注册时间 2008-03-16

2008-03-16 10:10 |只看楼主 1^#

字体大小: t T

运用组策略做好

软件的布署与软件使用的限制

----有效进行教师办公用机的管理与维护

一、 WINDOWS SERVER 2003组策略概述 1. 组策略是WINDOWS 2000操作系统之后所支持的一种网络管理方式2. 对用户和计算机进行One-to-many的管理方式3. 强制IT策略4. 简化管理任务5. 实现安全设置6. 实现标准的用户和计算机环境二、 WINDOWS SERVER 2003 组策略实现的环境 1. 至少一台WINDOWS SERVER 2003域服务器2. 若干台WIN9X/WIN2000 PRO/WINDOWS XP的客户端，并已经加入到上面的域中3. 操作WINDOWS SERVER 2003组策略的利器：GPMC.MSC (1) WINDOWS SERVER 2003内置的组策略组策略管理与编辑工具是GPEDIT.MSC和DSA.MSC，但是MICROSOFT强烈推荐使用GPMC.MSC，这一点从MICROSOFT TECHNET课程上可以看出来，我们可以从MICROSOFT的网站上下载这一利器工具，并安装在WINDOWS SERVER 2003上，当前为SP1版。 4. 牛刀小试（DEMO）5. 实验环境 (1) 一台DOMAIN CONTROLLER:PFSRVR2，域为：TESTDOMAIN.COM。IP为：192.168.1.66(2) 一台WINDOWS XP客户端：PFXP03，已加入TESTDOMAIN.COM域。IP为：192.168.1.2456. 实验过程 (1) 在SERVER端新添加一个用于测试的用户，名称为：pfusera) 开始/运行/cmd↙b) Net user pfuser 111aaa… /add↙ (2) 启动AD用户和计算机a) 开始/运行/DSA.MSC↙(3) 启动组策略管理器a) 开始/运行/GPMC.MSC↙(4) 在AD用户和计算机中在testdomain.com域中新建一OU名为MyOU (5) 将客户端PFXP03从“Computers”拖动到“MyOU”中(6) 在GPMC中，右击组策略对象/新建（GPO），名称为MyGPO(7) 编辑组策略MyGPOa) 右击MyGPO/编辑，进入组策略编辑器 b) 定位于计算机配置\管理模板\Windows组件\Internet控制面板c) 对于禁用常规页，设置为已禁用 (8) 设置组策略MyGPO与MyOU的链接a) 将MyGPO拖动到MyOU上 (9) 刷新组策略a) 在SERVER端，运行GPUPDATE /FORCE↙b) 在CLIENT端，运行GPUPDATE /FORCE↙c) 在CLIENT端，以PFUSER登录。(10) 观看结果a) 在CLIENT端，右击IE/属性，“常规页”已经消失。 b) 运行cmd↙，运行GPRESULT，看到组策略对象MyGPO已经被应用。 7. 技能扩展 (1) 可以向MyOU中添加多台计算机，批量应用组策略MyGPO三、组策略对教师办公机维护与管理的意义 1. 从以上实验可以看出，通过组策略对象在域模型中的批量应用，强制IT策略，简化管理任务，实现安全设置，实现标准的用户和计算机环境四、利用组策略进行应用软件的布署 1. 需要解决的问题 (1) 如果你负责维护学校教师办公用计算机，不可避免地要为这些计算机进行应用软件的安装，你需要拿着N多安装光盘，对于每台计算机进行单独的安装和设置，你会抱怨说，维护工作量太大，可是有了WINDOWS SERVER 2003的组策略，我们可以对以上的忙碌Say Good-bye！2. 具体步骤 (1) 在SERVER端新建一个文件夹，名为Software，并对其进行共享和安全设置，至少要让PFUSER有权访问。(2) 把要批量安装与布署的软件安装文件目录复制到Software下，在此仅以OFFICE2000为例。(3) 在GPMC中，右击MyGPO，编辑，进入组策略编辑器。(4) 定位于“计算机配置\软件安装”，右击软件安装\属性(5) 在默认程序包位置中，填入“\\pfsrvr2\software$”。 (6) 右击“软件安装”\新建\程序包(7) 选择“office 2000 简体中文版”下的data1.msi文件，打开。(8) 保持布署方法为“已指派”，确定。 (9) 观看完成的结果。 (10) 退出组策略编辑，退出GPMC，分别刷新SERVER和CLIENT端的组策略。重新启动CLIENT端。(11) 观看最终成果。 3. 技能扩展 (1) 可以把你想统一进行布署安装的计算机全部拖到MyOU中，统一应用组策略，就可以成批安装与布署应用软件。(2) 可以根据不同的情况，比如计算机的硬件配置有高有低，分组实施不同的软件版本的安装组策略方案，比如配置最低的机器安装office2000，配置中档的安装office2003，配置高的安装office2007。(3) 可以把你想要为办公用教师机安装的软件全部复制到Software文件夹中，分别建立对应的安装程序包，统一进行布署安装。(4) 如果进行安装的程序不是.msi文件，需要对其进行转换。网上有很多转换工具可以使用。(5) 软件布署安装的方式还有“发布”的方式，还有针对与“用户配置”的组策略方式，有兴趣的可以自己去测试。五、利用组策略进行软件使用的限制 1. 需要解决的问题 (1) 你的校长十分不满的对你说，最近学校有一批教师在上班时间玩一款单机游戏，名称叫做“搞怪碰碰球”，严重影响了教学，希望你能采取最适宜的方式，制止这种现象，那么你会怎么做呢？下面就请看我们的杀手级的利器，“组策略”。 2. 具体步骤 (1) 在GPMC中，右击MyGPO，编辑，进入组策略编辑器。(2) 定位于“计算机配置\WINDOWS设置\安全设置\软件限制策略”。 (3) 右击“软件限制策略”\创建软件限制策略。(4) 右击“其它规则”\新建哈希规则 (5) 文件哈希中，定位到SERVER中的“搞怪碰碰球.exe”文件，求出文件的哈希值，应用后，点击确定。 (6) 退出组策略编辑，退出GPMC，分别刷新SERVER和CLIENT端的组策略。(7) 观看最终成果。 a) 在CLIENT端，无法运行该游戏。 b) 如果把游戏程序更改文件名称会怎么样呢？呵呵，同样无法运行。这就是哈希规则的闪光点。 3. 技能扩展4. 软件限制策略还在路径规则和证书规则等，，有兴趣的可以自己去测试。六、结束语 (1) 以上运用域的组策略进行计算机维护与管理的实例，只是WINDOWS SERVER 2003组策略应用的几个简单功能，组策略的功能相当的丰富与复杂，让我们共同来学习和研究如何使组策略在学校教育教学工作发挥更大作用，让我们携手共进！

1 评分次数