本章學(xué)習(xí)目標

《本章學(xué)習(xí)目標》由會員分享，可在線閱讀，更多相關(guān)《本章學(xué)習(xí)目標（79頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,*,*,*,第,11,章 組策略,本章學(xué)習(xí)目標,,11.1,組策略概述,,11.2,管理模板策略的設(shè)置,,11.3 WINDOWS,設(shè)置策略的管理,,11.4,通過軟件設(shè)置策略部署應(yīng)用程序,,11.5,思考題,本章學(xué)習(xí)目標,本章主要介紹組策略的定義和設(shè)置。通過本章的學(xué)習(xí)，讀者應(yīng)掌握以下內(nèi)容：,,l,,組策略概述,,l,,管理模板策略的設(shè)置,,l,Windows,設(shè)置策略的管理,,通過軟件設(shè)置策略部署應(yīng)用程序,,11.1,組策略概述,組策略是,Windows 2000,操作系統(tǒng)提供的一個關(guān)鍵性的更

2、改和配置管理技術(shù)，可以針對站點、域或組織單位設(shè)置組策略，這些組策略的設(shè)置存儲在域控制器的活動目錄內(nèi)。組策略包含兩部分的設(shè)置：,,“計算機配置”,,“用戶配置”,計算機配置,計算機配置：當計算機啟動時，就會根據(jù)“計算機配置”的設(shè)置來確定計算機的環(huán)境。例如，若針對域,,設(shè)置了組策略，則此組策略內(nèi)的“計算機配置”設(shè)置就會被應(yīng)用到該域內(nèi)的所有計算機。,用戶配置,用戶配置：當用戶登錄時，就會根據(jù)“用戶配置”的設(shè)置來確定用戶的工作環(huán)境。例如，若針對域,,設(shè)置了組策略，則此組策略內(nèi)的“用戶配置”就會被應(yīng)用到此域內(nèi)的所有用戶賬戶。,11.1,組策略概述,不管是“計算機配置”或是“用戶配置”，其組策略都包含以下

3、三個方面的內(nèi)容：,,（,1,）管理模板：包括,Windows,組件、網(wǎng)絡(luò)、桌面以及任務(wù)欄和開始菜單等相關(guān)的策略。,,（,2,）,Windows,設(shè)置：包括腳本、安全設(shè)置（賬戶策略和本地策略）等相關(guān)的策略。,,（,3,）軟件設(shè)置：包括軟件安裝策略，可以進行應(yīng)用程序的指派與發(fā)布。,11.1,組策略概述,11.1.1,組策略對象,,11.1.2,組策略的應(yīng)用順序與規(guī)則,11.1.1,組策略對象,所有的組策略都必須通過建立組策略對象,（,GPO,）,的方式設(shè)置。在“,Active Directory,用戶和計算機”窗口中選擇站點、域或組織單位，單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”→“組策略”命

4、令，查看其,GPO,設(shè)置值。如圖,11-1,所示,。,11.1.1,組策略對象,,當新建一個,GPO,時，將建立一個相對應(yīng)的組策略模板文件夾，用于存儲,GPO,的數(shù)據(jù)。其位于域控制器的,%,systemroot,%\SYSVOL \,sysvol,文件夾內(nèi)，它將自動地被復(fù)制到所有的域控制器中。如果建立了多個,GPO,，,并且這些,GPO,內(nèi)的設(shè)置有沖突時，則以排列在前面的,GPO,設(shè)置為優(yōu)先。,,,1,．一般用戶默認的組策略,,2,．更改組策略,,3,．驗證更改組策略的有效性,1,．一般用戶默認的組策略,由于,Windows 2000,默認只有特殊的用戶賬戶,（,例如,administrato

5、r,）,才能直接在域控制器上登錄，而一般賬戶無法從域控制器上登錄，除非他們被賦予“本地登錄”的權(quán)限。其驗證步驟如下：,,在域控制器端，以,administrator,賬戶登錄，添加一個用戶賬戶“,ls,”,；,完成后，注銷,administrator,，,以“,ls,”,用戶賬戶登錄，將出現(xiàn)登錄失敗的提示。,2,．更改組策略,以下將介紹如何更改組策略。讓域內(nèi)的所有用戶賬戶都可以從域控制器上登錄，也就是更改“,Default Domain Controllers Policy,”,設(shè)置，讓“,Domain Users,”,組內(nèi)的所有成員都具備“在本地登錄”的權(quán)利。其步驟如下：,,（,1,）在域控

6、制器端，以,administrator,賬戶登錄。在“,Active Directory,用戶和計算機”窗口中，選中“,Domain Controllers,”,，,單擊鼠標右鍵，再從彈出的快捷菜單中選擇“屬性”→“組策略”命令。,,2,．更改組策略,（,2,）出現(xiàn)如圖,11-1,所示的對話框，選定,“,Default Domain Controllers Policy,”,項，然后單擊“編輯”按鈕。,2,．更改組策略,（,3,）打開如圖,11-2,所示的,“,組策略,”,窗口，依次選擇,“,計算機配置,”,→,“,Windows,設(shè)置,”,→,“,安全設(shè)置,”,→,“,本地策略,”,→,“,

7、用戶權(quán)利指派,”,，然后雙擊窗口右側(cè)的,“,在本地登錄,”,項。,2,．更改組策略,（,4,）出現(xiàn)如圖,11-3,所示的對話框，默認情況下只有,Account Operators,等組內(nèi)的成員才有,“,在本地登錄,”,的權(quán)限。單擊,“,添加,”,按鈕，選擇,“,Domain Users,”,組以便讓所有的域用戶都具備,“,在本地登錄,”,的權(quán)限。完成后單擊,“,確定,”,按鈕。,3,．驗證更改組策略的有效性,更改組策略后，并不立刻生效，域控制器的組策略更新時間，默認為,5,分鐘；,Windows 2000,工作站、成員服務(wù)器的組策略更新時間，默認為,90,分鐘。為了使更改后的組策略能夠立刻生效

8、，必須進入,DOS,命令窗口，運行,“,Secedit,/Refresh machine_policy,”,（,讓,“,組策略,”,的,“,計算機配置,”,生效,）,或,“,Secedit,/Refresh user_ policy,”,（,讓,“,組策略,”,的,“,用戶配置,”,生效,）,命令，稍待片刻即可生效。,3,．驗證更改組策略的有效性,以下是驗證更改“在本地登錄”組策略的有效性的步驟：,,（,1,）在域控制器端，注銷,administrator,賬戶，然后等待此組策略生效；或者執(zhí)行“,Secedit,/Refresh machine_ policy,”,命令或者干脆重新啟動。,,（

9、,2,）重新登錄時，請用剛建立的域用戶“,ls,”,登錄，此時應(yīng)該可以登錄成功。,,11.1.2,組策略的應(yīng)用順序與規(guī)則,11.1.2,組策略的應(yīng)用順序與規(guī)則,如果在高層容器內(nèi)建立了組策略，而未在其低層容器內(nèi)建立組策略，則低層容器會繼承在高層容器內(nèi)所建立的組策略。以圖,11-4,為例，如果僅針對域,,建立了組策略，則其低層的,xuexiao,組織單位會繼承這個策略，同時更低層的,9901,組織單位也會繼承這個策略。也就是說，該組策略會被應(yīng)用到,xuexiao,組織單位，同時也會被應(yīng)用到更低層的,9901,組織單位。,11.1.2,組策略的應(yīng)用順序與規(guī)則,如果在低層的容器內(nèi)建立了組策略，則此組策

10、略內(nèi)的設(shè)置默認會替代由其高層的父容器所傳遞下來的組策略。以圖,11-4,為例，如果針對域,,建立了組策略，同時也針對其下層的,xuexiao,組織單位建立了組策略，則,xuexiao,的組策略以其本身的組策略為準。,,如果在父容器的組策略內(nèi)的某個策略被設(shè)為“未被配置”，則子容器并不繼承這個策略。,11.1.2,組策略的應(yīng)用順序與規(guī)則,如果在父容器的組策略內(nèi)的某個策略被設(shè)為“啟用”或“禁用”，但是子容器內(nèi)的組策略內(nèi)并未設(shè)置此策略，則子容器會繼承這個設(shè)置。,,可以在子容器的組策略內(nèi)，通過“阻止策略繼承”復(fù)選框來設(shè)置不要繼承由父容器傳遞的組策略設(shè)置。,11.1.2,組策略的應(yīng)用順序與規(guī)則,可以在父容

11、器的組策略內(nèi)，通過“禁止替代”復(fù)選框來強迫子容器必須繼承由父容器傳遞的組策略設(shè)置，不論子容器的組策略內(nèi)是否設(shè)置了“阻止策略繼承”，父容器的“禁止替代”的優(yōu)先級高于在子容器內(nèi)的“阻止策略繼承”。,,11.2,管理模板策略的設(shè)置,,管理模板策略包括,Windows,組件、網(wǎng)絡(luò)、桌面以及任務(wù)欄和開始菜單等相關(guān)的內(nèi)容。,,在“,Active Directory,用戶和計算機”窗口中，建立實例所需的組織單位與用戶賬戶，如圖,11-4,所示。,11.2,管理模板策略的設(shè)置,選中域名后單擊鼠標右鍵，創(chuàng)建一個組織單位，其名稱為“,xuexiao,”,。,,選中“,xuexiao,”,組織單位后單擊鼠標右鍵，添

12、加一個用戶賬戶，其名稱為“,xiaozhang,”,。,,選中“,xuexiao,”,組織單位后單擊鼠標右鍵，添加一個下級組織單位，其名稱為“,9901,”,。,,選中“,9901,”,組織單位后單擊鼠標右鍵，添加一個用戶賬戶，其名稱為“,zhangsan,”,。,11.2,管理模板策略的設(shè)置,11.2.1,設(shè)置管理模板策略,,11.2.2,設(shè)置組策略的替代功能,11.2.1,設(shè)置管理模板策略,設(shè)置“,xuexiao,”,組織單位的管理模板策略，隱藏用戶桌面上的“網(wǎng)上鄰居”圖標；將“開始”菜單中的“運行”、“幫助”等命令隱藏；在“開始”菜單中添加“注銷”的功能。其步驟如下：,,（,1,）打開“

13、,Active Directory,用戶和計算機”窗口，選中“,xuexiao,”,組織單位后，單擊鼠標右鍵，從彈出的快捷菜單中選擇“屬性”→“組策略”→“新建”命令，添加一個,GPO,，,并將其命名為“,xuexiao,Policy,”,。,11.2.1,設(shè)置管理模板策略,（,2,）在如圖,11-5,所示的對話框中，單擊“編輯”按鈕。,11.2.1,設(shè)置管理模板策略,（,3,）在如圖,11-6,所示的“組策略”窗口中，選擇“用戶配置”→“管理模板”→“任務(wù)欄和「開始」菜單”選項。,11.2.1,設(shè)置管理模板策略,雙擊窗口右側(cè)的“從「開始」菜單中刪除‘運行’菜單”。,,雙擊窗口右側(cè)的“從「開始

14、」菜單刪除‘幫助’命令”。,,雙擊窗口右側(cè)的“將‘注銷’添加到「開始」菜單”。,,在出現(xiàn)的類似圖,11-7,所示的對話框中，選中“啟用”單選框，單擊“確定”按鈕。,11.2.1,設(shè)置管理模板策略,（,4,）在如圖,11-6,所示的“組策略”窗口中，選擇“用戶配置”→“管理模板”→“桌面”。,,雙擊窗口右側(cè)的“隱藏桌面上‘網(wǎng)上鄰居’圖標”。在出現(xiàn)的類似圖,11-7,所示的對話框中，選中“啟用”單選框，單擊“確定”按鈕。,,（,5,）設(shè)置完成后，關(guān)閉“組策略”窗口。,,（,6,）單擊“關(guān)閉”按鈕，結(jié)束組策略設(shè)置。,11.2.1,設(shè)置管理模板策略,在該組策略生效后：,,注銷并利用“,xuexiao,

15、”,組織單位內(nèi)的域用戶賬戶“,xiaozhang,”,登錄，其桌面上的“網(wǎng)上鄰居”圖標以及“開始”菜單中的“幫助”與“運行”命令都沒有了，但是卻多出了一個“注銷,xiaozhang,”,的命令。,,注銷后利用“,9901,”,組織單位內(nèi)的域用戶賬戶“,zhangsan,”,登錄，其桌面上的設(shè)置等同于“,xiaozhang,”,用戶賬戶的桌面設(shè)置，表示位于下層的“,9901,”,組織單位繼承了上一層的“,xuexiao,”,組織單位內(nèi)的組策略,（,GPO,）,設(shè)置。,11.2.2,設(shè)置組策略的替代功能,設(shè)置“,9901,”,組織單位內(nèi)的管理模板策略，并將其設(shè)置為：,,l,,不隱藏用戶桌面上的“網(wǎng)

16、上鄰居”圖標；,,l,,不要在“開始”菜單中添加“注銷”的功能。,,然后利用“,9901,”,組織單位內(nèi)的用戶賬戶“,zhangsan,”,登錄，并驗證是否繼承或替代由“,xuexiao,”,組織單位所傳遞的組策略設(shè)置。,,11.3 WINDOWS,設(shè)置策略的管理,,Windows,設(shè)置策略包括登錄,/,注銷、啟動,/,關(guān)閉腳本以及安全設(shè)置的賬戶策略與本地策略等相關(guān)的策略。下面針對典型的策略予以介紹。,,11.3.1,賬戶策略的設(shè)置,,11.3.2,本地策略,,11.3.3,登錄,/,注銷、啟動,/,關(guān)閉腳本,11.3.1,賬戶策略的設(shè)置,賬戶策略分為,“,密碼策略,”,與,“,賬戶鎖定策略

17、,”,，在,“,組策略,”,選項卡中選定,GPO,，,然后選擇,“,編輯,”,→,“,計算機配置,”,→,“,Windows,設(shè)置,”,→,“,安全設(shè)置,”,→,“,賬戶策略,”,。然后設(shè)置相應(yīng)的策略。,,1,．密碼策略,,2,．賬戶鎖定策略,1,．密碼策略,選擇,“,密碼策略,”,，如圖,11-9,所示，設(shè)置與用戶賬戶密碼有關(guān)的策略：,1,．密碼策略,密碼最長存留期：設(shè)置用戶密碼最長的使用期限。用戶在登錄時，若密碼使用期限已到，系統(tǒng)會自動要求用戶更改密碼。,,密碼最短存留期：設(shè)置用戶密碼最短的使用期限，在期限未到之前，用戶不得更改密碼。它被默認設(shè)為,0,天，表示用戶可以隨時更改密碼。,1,．

18、密碼策略,密碼長度最小值：規(guī)定用戶在設(shè)置密碼時，密碼的最小長度。,,強制密碼歷史：設(shè)置是否記錄用戶以前所使用過的密碼，以便設(shè)置用戶在更改其密碼時，是否可以重復(fù)使用舊的密碼。,2,．賬戶鎖定策略,選擇,“,賬戶鎖定策略,”,，如圖,11-11,所示，可以設(shè)置以下策略：,2,．賬戶鎖定策略,,賬戶鎖定閾值：此處可設(shè)置在用戶登錄多次失敗,（,例如，密碼輸入錯誤,）,后，就將該賬戶鎖定。在未被解除鎖定之前，用戶無法再利用此賬戶登錄。,,賬戶鎖定時間：設(shè)置在鎖定時將賬戶鎖定多長時間，在這段時間過后，鎖定自動解除；如果將鎖定時間設(shè)為,0,分鐘，則表示此賬戶將被永久鎖定，不會被自動解除鎖定，此時必須由系統(tǒng)管

19、理員解除鎖定。,2,．賬戶鎖定策略,復(fù)位賬戶鎖定計數(shù)器：鎖定計數(shù)器的初值為,0,，用戶若登錄失敗，則鎖定計數(shù)的值加,1,；若登錄成功，則鎖定計數(shù)器的值被歸零；若鎖定計數(shù)器的值等于賬戶鎖定閾值，該賬戶就會被鎖定。,,2,．賬戶鎖定策略,,還可以通過此處設(shè)置所謂的間隔時間，以便讓鎖定計數(shù)器的值在間隔時間到后自動清零。若用戶連續(xù)多次（賬戶鎖定閥值）登錄失敗，其賬戶就會被鎖定。但是，賬戶在被鎖定之前,（,尚未達到賬戶鎖定閥值,）,，如果前一次登錄失敗后的間隔時間已超過,30,分鐘，則鎖定計數(shù)器的值被清,0,。,11.3.2,本地策略,在,“,組策略,”,選項卡中選定,GPO,，,然后選擇,“,編輯,”

20、,→,“,計算機配置,”,→,“,Windows,設(shè)置,”,→,“,安全設(shè)置,”,→,“,本地策略,”,，打開如圖,11-12,所示的窗口。針對相應(yīng)的策略進行設(shè)置。,,,1,．審核策略,,2,．用戶權(quán)利指派策略,,3,．安全選項策略,1,．審核策略,選擇,“,審核策略,”,，可以設(shè)置如圖所示策略，每個被審核的事件都可以分為,“,成功,”,與,“,失敗,”,，也就是可以審核該事件是否成功的發(fā)生。,,2,．用戶權(quán)利指派策略,選擇,“,用戶權(quán)利指派策略,”,，如圖所示，設(shè)置以下常用的幾個策略：,2,．用戶權(quán)利指派策略,,域中添加工作站：,,關(guān)閉系統(tǒng)：,,從網(wǎng)絡(luò)訪問此計算機：,,從遠端系統(tǒng)強制關(guān)機：,

21、,備份文件和目錄：,還原文件和目錄：,,管理審核和安全日志：,,更改系統(tǒng)時間：,,裝載和卸載設(shè)備驅(qū)動程序：,,取得文件或其他對象的所有權(quán)：,,3,．安全選項策略,選擇,“,安全選項策略,”,，可以設(shè)置以下策略：,,登錄屏幕上不要顯示上次登錄的用戶名：每次用戶按,Ctrl+Alt+Del,鍵后，在所出現(xiàn)的,“,登錄到,Windows,”,對話框中都會自動顯示上一次登錄者的用戶名稱，通過此選項可以讓其不顯示。,,允許在未登錄前關(guān)機：讓按,Ctrl+Alt+Del,鍵后所出現(xiàn)的,“,登錄到,Windows,”,對話框中，,“,關(guān)機,”,按鈕可以選用，以便在不需要登錄的情況下就可以關(guān)閉計算機。,3,．

22、安全選項策略,在密碼到期前提示用戶更改密碼：設(shè)置在用戶的密碼過期前幾天，提示用戶必須更改密碼。,,禁用按,Ctrl+Alt+Del,鍵進行登錄的設(shè)置：設(shè)置在計算機啟動時，直接出現(xiàn),“,登錄到,Windows,”,對話框，不需要提示,“,請按,Ctrl+Alt+Del,開始,”,。,,用戶試圖登錄時消息文字與用戶試圖登錄時消息標題：每次當,Windows 2000,啟動時，它都會提示,“,請按,Ctrl+Alt+Del,開始,”,，而如果希望用戶在按完這三個鍵后，窗口上自動顯示一些希望用戶看到的信息，則可以利用此處設(shè)置顯示信息的標題文字與內(nèi)容。,11.3.3,登錄,/,注銷、啟動,/,關(guān)閉腳本,

23、用戶,“,配置文件,”,中的,“,登錄腳本,”,，是針對一個用戶設(shè)置的。,,,“,組策略,”,中的,“,登錄,/,注銷腳本,”,，是針對域或組織單位內(nèi)所有的用戶進行設(shè)置的，,,另外，,“,啟動,/,關(guān)閉腳本,”,是針對計算機進行設(shè)置的，只要計算機啟動時，就會自動執(zhí)行,“,啟動腳本,”,，而關(guān)機時執(zhí)行,“,關(guān)機腳本,”,。,,1,．登錄,/,注銷腳本,,2,．啟動,/,關(guān)閉腳本的設(shè)置,1,．登錄,/,注銷腳本,（,1,）先創(chuàng)建登錄與注銷腳本。在此創(chuàng)建一個名稱為,login.bat,的登錄腳本。,,（,2,）打開,“,Active Directory,用戶和計算機,”,窗口，選擇域或組織單位并單擊

24、鼠標右鍵，從彈出的快捷菜單中選擇,“,屬性,”,→,“,組策略,”,命令，然后在對話框中選定,GPO,，,再選擇,“,編輯,”,→,“,用戶配置,”,→,“,Windows,設(shè)置,”,→,“,腳本,（,登錄,/,注銷,）,”,選項，出現(xiàn)如圖,11-13,所示的窗口，雙擊右側(cè)的,“,登錄,”,。,1,．登錄,/,注銷腳本,（,3,）出現(xiàn)如圖,11-14,所示的對話框，單擊,“,顯示文件,”,按鈕。,,1,．登錄,/,注銷腳本,（,4,）出現(xiàn)如圖,11-15,所示的窗口，先切換到,“,Windows,資源管理器,”,，選定登錄腳本，單擊鼠標右鍵，從彈出的快捷菜單中選擇,“,復(fù)制,”,命令；然后返回

25、,“,Logon,”,窗口，選擇,“,編輯,”,,→,“,粘貼,”,命令，將登錄腳本復(fù)制到該窗口中。,1,．登錄,/,注銷腳本,（,5,）返回到如圖,11-14,所示的對話框，單擊,“,添加,”,按鈕。,,,（,6,）出現(xiàn)如圖,11-16,所示的對話框，單擊,“,瀏覽,”,按鈕，從圖,11-15,所示的,Logon,文件夾內(nèi)選定登錄腳本。如果腳本需要輸入?yún)?shù)，則在,“,腳本參數(shù),”,文本框中鍵入?yún)?shù)，完成后單擊,“,確定,”,按鈕。,1,．登錄,/,注銷腳本,（,7,）返回如圖,11-14,所示的對話框，單擊,“,確定,”,按鈕。,,（,8,）返回如圖,11-13,所示的窗口，雙擊右側(cè)的,“,

26、注銷,”,，然后重復(fù)步驟（,2,）,~,（,6,），設(shè)置,“,注銷,”,腳本。,,完成設(shè)置后，如果這個,GPO,策略是針對域設(shè)置的，則域內(nèi)的所有用戶登錄時會自動執(zhí)行所設(shè)置的登錄腳本、注銷時會自動執(zhí)行注銷腳本；如果這個,GPO,策略是針對某個組織單位設(shè)置的，則此組織單位內(nèi)的所有用戶登錄、注銷時，都會自動執(zhí)行此處所設(shè)置的登錄,/,注銷腳本。,,2,．啟動,/,關(guān)閉腳本的設(shè)置,（,1,）先創(chuàng)建啟動與關(guān)閉腳本，在此創(chuàng)建一個名稱為,startup.bat,的啟動腳本。,,（,2,）打開,“,Active Directory,用戶和計算機,”,窗口，選擇域或組織單位并單擊鼠標右鍵，從彈出的快捷菜單中選擇,

27、“,屬性,”,→,“,組策略,”,命令，在對話框中選定,GPO,后，依次選擇,“,編輯,”,→,“,計算機配置,”,→,“,Windows,設(shè)置,”,→,“,腳本,（,啟動,/,關(guān)閉,）,”,選項，出現(xiàn)如圖,11-17,所示的窗口，雙擊右側(cè)的,“,啟動,”,。,2,．啟動,/,關(guān)閉腳本的設(shè)置,,完成設(shè)置后，如果這個,GPO,策略是針對域設(shè)置的，則域內(nèi)的所有計算機啟動時，會自動執(zhí)行此處所設(shè)置的啟動腳本，關(guān)機時會自動執(zhí)行關(guān)機腳本。,,11.4,通過軟件設(shè)置策略部署應(yīng)用程序,通過軟件設(shè)置策略，可以為用戶與計算機來部署應(yīng)用程序。,,將應(yīng)用程序發(fā)布或指派給用戶。,,將應(yīng)用程序指派給計算機。,,自動修復(fù)應(yīng)

28、用程序。,,刪除用戶的應(yīng)用程序。,11.4,通過軟件設(shè)置策略部署應(yīng)用程序,將應(yīng)用程序發(fā)布或指派給用戶。當某個應(yīng)用程序通過組策略的,GPO,被發(fā)布或指派給用戶后，域用戶可以用,“,添加,/,刪除程序,”,命令，通過網(wǎng)絡(luò)來安裝此應(yīng)用程序?；蛘弋斢蛴脩粢蜷_一個與該應(yīng)用程序相關(guān)聯(lián)的文件,（,如：,Excel,文件,）,時，則,Windows 2000,計算機將先自動安裝此應(yīng)用程序,（,如：,Microsoft Excel,）,，,再打開此文件,（,如：,Excel,文件,）,。,11.4,通過軟件設(shè)置策略部署應(yīng)用程序,將應(yīng)用程序指派給計算機。若此應(yīng)用程序被指派給計算機，則計算機啟動后，該應(yīng)用程序?qū)⒈?/p>

29、自動安裝在此計算機內(nèi)，并且它是被放到公用程序組中，任何用戶登錄后，都可以使用此應(yīng)用程序。,,11.4,通過軟件設(shè)置策略部署應(yīng)用程序,自動修復(fù)應(yīng)用程序。被發(fā)布或指派的應(yīng)用程序，若在安裝完成后有文件被損毀、丟失或刪除，則系統(tǒng)會自動檢測到，然后修復(fù)、重新安裝此應(yīng)用程序。,,11.4,通過軟件設(shè)置策略部署應(yīng)用程序,刪除用戶的應(yīng)用程序。被發(fā)布或指派的應(yīng)用程序，若在用戶安裝完成后，需不再讓用戶使用，則只要將此程序從軟件設(shè)置策略部署應(yīng)用程序列表中刪除，用戶下次登錄或計算機重新啟動時，將自動刪除該應(yīng)用程序。,,11.4,通過軟件設(shè)置策略部署應(yīng)用程序,以上所部署的應(yīng)用程序必須被包裝為,Windows,安裝的格式

30、，其擴展名為,.,msi,，,這類程序被稱為,“,Windows,安裝程序包,”,。若要將不支持,Windows,安裝格式的現(xiàn)有應(yīng)用程序打包為,Windows,安裝程序包，則可以通過,Windows 2000,光盤內(nèi)所附帶的,WinINSTALL,LE,（,Limited Edition,）,程序完成。,11.4,通過軟件設(shè)置策略部署應(yīng)用程序,11.4.1,給用戶發(fā)布或指派應(yīng)用程序,,11.4.2,給計算機指派應(yīng)用程序,,11.4.3,更改部分應(yīng)用程序的設(shè)置,11.4.1,給用戶發(fā)布或指派應(yīng)用程序,下面以,Windows 2000,光盤內(nèi)的,VALUEADD\3RDPARTY\MGMT\WIN

31、STLE\WinINSTALL LE,應(yīng)用程序為例，介紹如何將具有,Windows,安裝程序包格式的應(yīng)用程序發(fā)布或指派給用戶，以便讓用戶可以安裝、使用該應(yīng)用程序。,,1,．給用戶發(fā)布或指派應(yīng)用程序,,2,．安裝被發(fā)布或指派的應(yīng)用程序,1,．給用戶發(fā)布或指派應(yīng)用程序,給用戶發(fā)布或指派應(yīng)用程序的步驟如下：,,（,1,）用,administrator,賬戶登錄到域控制器。,,（,2,）在域控制器上建立一個文件夾，例如：,C:\Packages,。,并將其設(shè)為共享文件夾，共享名為,Packages,。,,（,3,）將,Windows 2000,光盤中的文件夾,VALUEADD\3RDPARTY\MGM

32、T\WINSTLE,內(nèi)所有的文件復(fù)制到共享文件夾,Packages,內(nèi)。,1,．給用戶發(fā)布或指派應(yīng)用程序,（,4,）打開“,Active Directory,用戶和計算機”窗口，選中域名并單擊鼠標右鍵，從彈出的快捷菜單中選擇“屬性”→“組策略”，打開“組策略”選項卡，然后選定,GPO,，,選擇“編輯”→“用戶配置”→“軟件設(shè)置”→“軟件安裝”選項。,1,．給用戶發(fā)布或指派應(yīng)用程序,（,5,）選擇“軟件安裝”并單擊鼠標右鍵，從彈出的快捷菜單中選擇“屬性”命令。出現(xiàn)如圖所示的對話框，在“默認程序包位置”文本框中輸入應(yīng)用程序包的位置，注意此處請,用,UNC,路徑，然后單擊“確定”按鈕。,1,．給用戶

33、發(fā)布或指派應(yīng)用程序,（,6,）選擇“軟件安裝”并單擊鼠標右鍵，從彈出的快捷菜單中選擇“新建”→“程序包”命令。出現(xiàn)如圖所示的窗口，選擇應(yīng)用程序包，如,SWIADMILE.MSI,，,然后單擊“打開”按鈕。,1,．給用戶發(fā)布或指派應(yīng)用程序,（,7,）出現(xiàn)如圖,11-21,所示的對話框，在“選擇部署方法”組框中選擇：“已發(fā)行”、“已指派”或“高級發(fā)行或指派”。如：選擇“已發(fā)行”，然后單擊“確定”按鈕。,1,．給用戶發(fā)布或指派應(yīng)用程序,（,8,）出現(xiàn)如圖所示的窗口，圖中右方的“,WinINSTALL,LE,”,已被發(fā)行成功。,,若要取消發(fā)布此應(yīng)用程序，則選擇該應(yīng)用程序并單擊鼠標右鍵，從彈出的快捷菜單

34、中選擇,“,所有任務(wù),”,→,“,刪除,”,命令即可。,,2.,安裝被發(fā)布或指派的應(yīng)用程序,安裝被發(fā)布或指派的應(yīng)用程序，可以通過,“,添加,/,刪除程序,”,或運行相關(guān)聯(lián)的文件的途徑進行。,,通過,“,添加,/,刪除程序,”,的途徑來安裝被發(fā)布的應(yīng)用程序，其步驟如下：,,（,1,）在網(wǎng)絡(luò)上，用域用戶賬戶登錄。,,（,2,）依次選擇,“,開始,”,→,“,設(shè)置,”,→,“,控制面板,”,→,“,添加,/,刪除程序,”,。,2.,安裝被發(fā)布或指派的應(yīng)用程序,（,3,）單擊,“,添加新程序,”,選項，則右方的,“,從網(wǎng)絡(luò)添加程序,”,處將顯示所有已被發(fā)布的應(yīng)用程序。,,（,4,）選擇要安裝的應(yīng)用程序

35、,（,如,“,WinINSTALL,LE,”,）,，,然后單擊,“,添加,”,按鈕，完成該應(yīng)用程序的安裝。,,安裝完成后，依次選擇,“,開始,”,→,“,程序,”,，在程序列表中就會多一個,“,VERITAS Software,”,程序項，該程序可以將其他應(yīng)用程序包裝成支持,Windows,安裝格式的程序包。,,2.,安裝被發(fā)布或指派的應(yīng)用程序,若通過發(fā)布方式已安裝好的應(yīng)用程序被部分刪除，則用戶下次登錄時，該應(yīng)用程序會被自動修復(fù)。,,若通過發(fā)布方式已安裝好的應(yīng)用程序被取消發(fā)布，則用戶下次登錄時，該應(yīng)用程序也將會被自動刪除。,11.4.2,給計算機指派應(yīng)用程序,在前面所介紹的,“,發(fā)布應(yīng)用程序,

36、”,與,“,指派應(yīng)用程序,”,都是針對用戶的，應(yīng)用程序被安裝在用戶的用戶配置文件內(nèi)，只能被該用戶使用；也可以將應(yīng)用程序,“,指派給計算機,”,，則只要計算機啟動，這個應(yīng)用程序就會自動被安裝到此計算機的,“,公用程序組,”,內(nèi)，所有在這臺計算機上登錄的用戶都可以使用該應(yīng)用程序。,11.4.2,給計算機指派應(yīng)用程序,給計算機指派應(yīng)用程序的步驟與給用戶指派應(yīng)用程序的步驟類似。只不過在,“,組策略,”,的窗口內(nèi)，必須選擇,“,計算機配置,”,（,而不是,“,用戶配置,”,）,→,“,軟件設(shè)置,”,→,“,軟件安裝,”,選項。,11.4.3,更改部分應(yīng)用程序的設(shè)置,可以在組策略內(nèi)更改被部署的應(yīng)用程序設(shè)置

37、：,,改變應(yīng)用程序的部署類型：例如，將被發(fā)布的應(yīng)用程序改為被指派，或?qū)⒈恢概傻膽?yīng)用程序改為被發(fā)布。設(shè)置時只要在被部署的應(yīng)用程序上單擊鼠標右鍵，從彈出的快捷菜單中選擇,“,發(fā)行,”,或,“,指派,”,命令即可。,11.4.3,更改部分應(yīng)用程序的設(shè)置,取消被部署的應(yīng)用程序：在被部署的應(yīng)用程序上單擊鼠標右鍵，從彈出的快捷菜單中選擇,“,所有任務(wù),”,→,“,刪除,”,命令，在出現(xiàn)的,“,刪除軟件,”,對話框中選擇,“,立刻從用戶和計算機卸載軟件,”,或,“,允許用戶繼續(xù)使用軟件，但禁止新的安裝,”,即可。,11.4.3,更改部分應(yīng)用程序的設(shè)置,設(shè)置當安裝此應(yīng)用程序時，是否出現(xiàn)完整的安裝界面，或者只顯

38、示部分的安裝界面：在被部署的應(yīng)用程序上單擊鼠標右鍵，從彈出的快捷菜單中選擇,“,屬性,”,→,“,部署,”,命令，在對話框中設(shè)置,“,基本選項,”,或,“,最大選項,”,。,11.4.3,更改部分應(yīng)用程序的設(shè)置,將應(yīng)用程序升級：若希望將應(yīng)用程序,Super Win,升級為應(yīng)用程序,HyperWin,，,則在,HyperWin,（,新的應(yīng)用程序,）上,單擊鼠標右鍵，從彈出的快捷菜單中選擇,“,屬性,”,→,“,升級,”,→,“,添加,”,命令，出現(xiàn),“,添加升級軟件包,”,對話框時，在,“,要升級的程序包,”,列表內(nèi)選擇,SuperWin,（,舊的應(yīng)用程序,）,。設(shè)置完成后，只要用戶登錄時，其,

39、SuperWin,應(yīng)用程序都會被,HyperWin,應(yīng)用程序所取代。,11.5,思考題,1,．如何創(chuàng)建、更改組策略，給出具體步驟？,,2,．如何設(shè)置新創(chuàng)建的用戶賬戶從而能夠直接從域控制器上登錄？,,3,．簡述組策略的應(yīng)用順序和規(guī)則。,,4,．計算機配置和用戶配置的組策略所定義的范圍是什么？,,5,．組策略的設(shè)置包括哪幾個方面？,11.5,思考題,6,．如何設(shè)置將用戶桌面上的網(wǎng)上鄰居隱藏起來？,,7,．如何設(shè)置組策略的替代功能？,,8,．如何設(shè)置登錄,/,注銷，啟動,/,關(guān)閉腳本，它們分別用在什么地方？,,9,．如何通過軟件設(shè)置策略部署應(yīng)用程序？,,10,．如何給用戶發(fā)布或指派應(yīng)用程序，給用戶與給計算機指派應(yīng)用程序有什么區(qū)別？,,11,．發(fā)布或指派給用戶的應(yīng)用程序如何進行預(yù)處理？,