组策略的管理一般是属于域的应用,组策略有什么作用呢?组策略可以在域控环境中,实现用户以及计算机的统一行为策略管理,比如,统一大家的桌面背景,统一主题样式,统一用户设置等等等等
目录
基础知识
而组策略又分为计算机配置和用户配置
计算机配置:用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上,当该计算机启动后,自动应用设置的组策略。
用户配置:用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时,就会应用用户配置组策略。
计算机配置的应用时限
计算机开机时
计算机开机后,域控制器每5分钟自动应用一次
计算机开机后,非域控制器每90-120分钟自动应用一次
手动应用
用户配置的应用时限
用户登录时会自动应用
用户登录后,系统每90-120分钟自动应用一次
手动应用
手动应用:打开命令行,执行gpupdate /force
任务目标:
- 通过组策略发布软件,发布的程序将显示在"添加或删除程序"对话框中,并且可以从该对话框中安装它。软件需要为msi格式的,可以自行下载,如7-zip或其他都可以。
- 找一个自己喜欢的图片,为Win10设置桌面背景,且不允许修改。
- 隐藏Win10的C盘,防止意外删除。同时为Win10映射一个网络驱动器,用于存放数据。
- 为Win10用户桌面添加一个快捷方式,设定的地址为你们平时喜欢浏览的一个地址。
- 最后你通过组策略将登陆Win10的普通域用户加入到Win10的本地管理员组中,域普通用户登录Win10后查看验证是否加入成果。
初始设置
使用上次域控服务的环境,准备一台域控服务器,再准备一台客户机,并加入域。
新建一个用户,使用这个用户在客户机上登录到域
1.通过组策略发布软件
在域控服务器的服务器管理器中,工具--组策略管理
如图依次打开,选择新建GPO
打开新建的GPO
添加刚刚新建的user
右键点击刚刚新建的组策略,选择编辑
因为我们要实现软件的安装,那么软件的安装包,必须要是一个网络的位置,假如我们设置为了本地的桌面,那么在域服务器的桌面是有这个软件包的,但是在客户机上呢?如果客户机的桌面没有这个安装包,肯定是找不到的对吧
所以这里的安装位置一定要设置为网络位置
设置共享软件
将安装包放在一个目录下
返回共享share这个文件夹
添加everyone读取权限
那么这个软件包的网络地址就成了
\\域服务器的IP地址\share\7z2201-x64.msi
比如:
输入用户名和密码,我这里输入的是user
出现这个就是共享成功
返回刚刚打开的组策略管理编辑器
依次打开用户配置--策略--软件设置--软件安装,在右边空白部分右击新建数据包
在文件名这里输入刚刚的网络地址,然后点击确定
已发布是让用户自己安装,已分配是计算机自动安装,计算机配置那里不能设置已发布
根据题目要求,发布的程序将显示在.....,并可以安装它,这很明显是自己安装,所以我们选择已发布
打开客户机,刷新组策略
打开客户机的控制面板
可以看到这里有了发布的程序,双击安装
可以看到可以正常安装
至此,软件安装的组策略配置完成
2.设置桌面背景
首先在刚刚新建的share文件夹下,放一张壁纸
按照同样的方法,在域服务器中选择我们刚刚新建的GPO,打开编辑
依次打开用户配置--策略--管理模版--桌面--桌面,双击打开桌面壁纸
指定桌面背景位置,然后确定
更新完成之后注销用户,重新登录
3.隐藏C盘
打开新建GPO的编辑,依次打开
用户配置--策略--管理模板--Windows组件--文件资源管理器
在右边的界面找到隐藏指定的驱动器,双击打开
返回客户机刷新组策略
打开此电脑进行验证
设置成功
4.添加快捷方式
打开新建的GPO,选择编辑
依次打开用户配置--首选项--Windows设置--快捷方式
在右边空白区域右击新建
填入这四个框里面的信息然后确定
返回客户机刷新组策略
设置成功
5.用户设置
这里的要求是在客户机上,让登录的域普通用户,加入到客户机的本地管理员组中,在我们的环境中实际应用效果就是,我们在域中新建的user用户自动加入到客户机的本地管理员组中
打开新建的GPO,选择编辑
依次打开用户配置--首选项--控制面板设置--本地用户和组
右击空白区域,选择所有任务--添加
修改这两个框里面的内容
客户机刷新策略
客户机打开服务器管理器,工具--计算机管理
找到本地用户和组--组,双击右边的Administrators
可以看到user加入到了这里面,设置完成