全国专车第一案:使用组策略管理用户环境（上）

当前域环境：在单域中有一些用户、组、计算机帐户，还有三个组织单位（OU），其中财务部还有一个子组织单位“资产管理”，每一个组织单位都有一个委派管理员，左侧有一些要实现的组策略对象（GPO）,本例中域控制器名：jame，域中另一台计算机名：Glasgow。

下面各例用于学习GPO对象的创建、链接、它的冲突解决，继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。（以下各例都在组策略管理工具中完成，在上一课已经安装了GPMC.MSI这个组策略管理工具）

一、 强制实现域中所有用户使用统一桌面背景。

1. 实现这一策略如下图：先建立一个统一桌面背景的GPO，把它链接到域，并设置这个GPO为强制。

2. 准备一张图片，放在一个只读共享文件夹中，并确认在网上邻居中可定位它的UNC路径。

图片的UNC路径是：\\Jame\公用共享\背景.jpg。

3. 打开：开始→管理工具→组策略管理，再展开林→域→Nwtraders.msft→组策略对象，在右侧“内容”中右击，选“新建”。

4. 取一个组策略名

5. 对新建的GPO右击选“编辑”，进入组策略对象的编辑。

6. 展开用户配置→管理模板→桌面→Active Desktop，首先启用“启用Active Desktop”用于支持Jpg和HTML格式为桌面背景。

在右侧窗口，双击“Active Desktop墙纸”并如下设置。（不要使用图片的本地路径，这样会使网络中其他计算机不能访问，而要使用UNC路径）

7. 把“统一背景”这个GPO链接到域：对域右击，选“链接现有GPO”。

对统一背景GPO右击，设置“强制”，使此GPO的组策略继承是强制继承，不能被阻止继承。

8. 用域用户Kaka登陆域测试一下，背景已经有图片，表示部署成功。

二、 除了域管理员和委派管理员外所有域用户禁用控制面板。

1. 本例实现的GPO链接示意图

2. 展开“组策略对象”在右侧如上例一样建立一个新的GPO。

对“禁用控制面板”GPO进行编辑。

如下设置启用“禁止访问控制面板”。

在域上“链接现有GPO”到“禁用控制面板”。

排除“禁用控制面板”GPO对系统管理员、委派管理员（administrator、kaka、jo、leo）的该策略应用：先在“组策略对象”下对“禁用控制面板”单击，在右侧出现细节，在其“作用域”的“安全筛选”中单击“添加”，加入administrator、kaka、jo、leo这几个用户。

单击“委派”选项卡下的“高级”按钮，打开“禁用控制面板”的安全设置，在“组或用户名称”中依次单击上面的四个用户，在下面的权限：“应用组策略”拒绝中钩选，使这四个用户拒绝应用“禁用控制面板”策略。

下面四个用户的“允许权限”项为“自定义”表示修改过。

3. 使用域用户boen登陆已经没有控制面板了

4. 使用域委派管理员kaka登陆，仍有控制面板。

三、 使用登陆脚本发布域中所有用户把“N：”驱动器映射到文件服务器的共享文件夹中。

1. 本例实现的GPO链接示意图

2. 设置“共享文件夹”为所有用户完全控制（包括非域中用户）：在共享和安全选项卡中设置Everyone为完全控制。

这一个设置安全性比较高，仅通过域验证过的域用户才能完全控制这个文件夹：在共享和安全选项卡中设置Authenticated Users（验证用户组）为完全控制。本例使用这一个来设置完全共享。

3. 在已经只读共享的“公用共享”文件夹中新建一个txt文本文件。

把它改名，扩展名必须是VBS文件类型。

然后对它右键单击，选菜单中的“编辑”，输入下面内容，再保存。

Set objNetwork = Wscript.CreateObject("WScript.Network")

objNetwork.MapNetworkDrive "N:", "\\jame\共享文件夹"

msgbox "共享文件夹映射为N盘成功！"

4. 在组策略对象中新建一个“登陆脚本：映射N盘”GPO，并进入“编辑”状态。

在用户配置→Windows设置→脚本（登陆/注销）的右侧，双击“登录”进入设置。

选择“添加”按钮，在弹出对话框的“脚本名”中输入脚本的UNC路径，也可以单击“浏览”，在网上邻居中找它的共享路径。（注意：一定不能是本地路径，不然在网络中其它电脑登陆时执行脚本不能访问这个文件。）

在域中其他电脑上用一个用户登陆，验证下，弹出msgbox中输入的提示信息，表示设置成功。

（未完待续）

本文出自 51CTO.COM技术博客

转自http://newthink.blog.51cto.com/872263/283180