Windows2008R2AD组策略

2023年11月30日发(作者：)

Windows2008R2AD组策略-统⼀域⽤户桌⾯背景详细图⽂

教程

我们先了解下组策略知识：

1、组策略中包含两部分：

1 计算机配置：针对计算机的配置，只在计算机上⽣效。计算机启动的时候应⽤，在出现登录界⾯前。

2 ⽤户配置：针对⽤户的配置，只在所有⽤户帐户上⽣效。⽤户登录后应⽤。

2、根据应⽤范围将组策略分为三类：

1 域的组策略：设置对于整个域都⽣效。在“AD⽤户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU⽣效。在“AD⽤户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点⽣效。在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运⾏”中键⼊，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD⽤户和计算机”中才能进

⼊。

3、组策略的执⾏顺序：

1 站点-〉域-〉组织单元（OU）

2 计算机配置-〉⽤户配置

4、组策略的冲突：

1 在不同组策略中的同⼀项⽬的设置相反，就是组策略冲突。如：在站点组策略中，“隐藏桌⾯上的⽹上邻居图标”设置为“启

⽤”，⽽域的组策略上设置的是“禁⽤”。再如：在域的组策略中“密码长度”设置为“7”，⽽OU的组策略中设置的是“6”。

2 冲突的结果：后执⾏的是结果。

5、组策略中的设置内容：

1 软件安装：⾃动安装应⽤软件。计算机配置和⽤户配置下都有。准备⼯作：软件的源安装⽂件，在安装⽂件中要有.msi为后

缀的可执⾏⽂件。将软件的源安装⽂件放到⼀个共享⽂件夹中。（⽹络路径）

A、已发⾏：由⽤户决定是否安装。如果软件包是已发⾏⽅式，⽤户登录后，系统会在添加/删除程序-〉添加新程序中显⽰已

发⾏的软件包。在计算机配置中不能实现。

B、已指派：强制性安装，⾃动安装。

2 WINDOWS设置：

A、计算机配置：脚本（启动和关机），安全设置。

B、⽤户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），⽂件夹

重定向（把⽤户的⼀些重要⽂件夹重定向到⽂件服务器中）。

3 管理模板：

A、计算机配置：WINDOWS组件、系统、⽹络、打印机。

B、⽤户配置：WINDOWS组件、系统、⽹络、任务栏和开始菜单、桌⾯、控制⾯板。

6、“组策略”选项卡下的操作：

删除：删除组策略对象。

注意：

A ⾮永久删除：“从列表中移除连接”。只是在列表中删除，还可以在系统中找到，并添加回来或添加到其他容器上。

B 永久性删除：“移除连接并将组策略永久删除”。彻底的删除掉，在系统中⽆法找到了。

1/新建：新建⼀个组策略。

3 编辑：编辑指定组策略的设置。

4 添加：将系统中已有的组策略应⽤到指定容器（域、OU、站点）中。

5 选项：

A 禁⽌替代：禁⽌后执⾏的组策略中的项⽬更改这个组策略的项⽬。如：在域的组策略中“密码长度”设置为“7”，⽽OU的组策

略中设置的是“6”，并且在域的组策略中选择了“禁⽌替代”。那么最终结果为“密码长度”是“7”。

B 被禁⽤：指定组策略不在容器上应⽤。

6 属性：

A 禁⽌计算机配置：指定组策略的计算机配置在容器上不⽣效。

B 禁⽌⽤户配置：指定组策略的⽤户配置在容器上不⽣效。

C “安全”选项卡：对于指定组策略的控制权限的设置。

7 如果在⼀个容器上有多个组策略，在组策略列表中上端的先执⾏，依次向下执⾏。

A “向上”/“向下”按钮：修改容器上的组策略在列表中的位置，从⽽修改了容器上组策略的执⾏顺序。

8 “阻⽌策略继承”选项：从更⾼级站点、域或组织单位继承的策略可以在该站点、域或组织单位级别被拒绝。禁⽌更⾼级别的

组策略在该容器上执⾏。

A “阻⽌策略继承”如果已启⽤“禁⽌替代”，则不会阻⽌“组策略”对象。

B “阻⽌策略继承”只能在站点、域和组织单位上设置，⽽不能在单个“组策略”对象上设置。

7、最佳操作

1 组策略：

A 禁⽤组策略对象的未使⽤部分。

B 使⽤阻⽌策略继承和禁⽌替代部分功能。

C 最⼩化与域中或组织单位中的⽤户关联的组策略对象的数量。应⽤于⽤户的组策略越多，它登录的时间越长。

D 避免交叉域组策略对象分配。如果从其他域获得组策略，那么组策略对象的处理将减慢登录和启动。

软件安装和管理

A 在 Windows 安装程序包发⾏或指派之前确定它们已正确转换。.msi或 .mst⽂件。

B 每个组策略对象只指派或发⾏⼀次：例如，如果将 Microsoft Office 指派给受组策略对象影响的计算机，则不能再将它指派

或发⾏给受组策略对象影响的⽤户。

C 重新打包现有软件。

D 使⽤DFS。

E 在 Active Directory 层次结构中的⾼层指派或发⾏。

3 ⽂件夹重定向

A 让“My Picture”⽂件夹始终跟随“我的⽂档”⽂件夹。

Windows 2008 R2 AD组策略-统⼀域⽤户桌⾯背景详细图⽂教程：

组策略管理在windows域管理中占有重要地位，本⾝也不是新的内容了。但微软在Windows2008中终于集成了⼀个⾮常好⽤

的组策略管理⼯具——组策略管理控制台。注意：2008 r2 右击域或者OU的属性中不再出现“组策略”。 在Server 2008以前的

Windows Server中要想配置组策略， 是件⿇烦事。后来微软推出了⼀个⼩⼯具——gpmc，才解决了问题，但这个⼯具需要下

载和安装，许多⼈不知道有这个⼯具的存在。在Windows 2008 R2中，微软将它集成了进来，⼤⼤⽅便了管理员对于组策略

的管理和配置。⾸先，让我们看看它的庐⼭真⾯⽬吧！

在“开始”-“管理⼯具”-“组策略管理”，就可打开。或者在“运⾏”中键⼊，也能打开：

对“财政部”的⽤户统⼀桌⾯，右击“财政部”-“在这个域中创建GPO并在此处链接”

命名为“财政部组策略对象”

右击-“编辑”

1、启⽤"⽤户配置--管理模板--桌⾯--Active Desktop-启⽤Active Desktop "， "禁⽤Active Desktop"保持"未配置"

2、启⽤"⽤户配置--管理模板--桌⾯--Active Desktop--桌⾯墙纸"并在墙纸"名称"处输⼊墙纸的路径

在AD服务器中共享⼀个“Share”的⽂件夹，权限为everyone读取，在⾥⾯放⼀张壁纸：

这是壁纸的内容：

在下⾯中输⼊

更新组策略:gpupdate

⽤“财政部”的⽤户登⼊客户端，会发现桌⾯已变。

会发现桌⾯的图标有蓝⾊阴影，相当难看！请见我的解决⽅案。

OK!

下⾯是对浏览器的标题进⾏统⼀设定：

“运⾏”-gpupdate，更新组策略。

以下⽤财政部的⼀个⽤户登录客户端验证：

⽤域管理员验证，不受影响