1、什么是組策略？ 在 Windows? 2000 / Windows? Server 2003操作系統中，您（系統管理員）使用“組策略”為用戶和計算機組定義用戶和計算機配置。您通過使用“組策略”Microsoft 管理控制臺 (MMC) 管理單元為特定用戶和計算機組創建具體的桌面配置。所創建的“組策略”配置包含在一個“組策略對象”(GPO) 中，該對象轉而又與選定的 Active Directory? 服務容器如站點、域或組織單位 (OU) 等關聯。

2、組策略可以干什么？ 管理員使用組策略來為計算機和用戶組指定桌面配置的選項。組策略包括基于注冊表的策略設置、安全設置、軟件安裝、腳本和文件夾重定向。

使用“組策略”管理單元，您可以指定下列各項的策略設置：（1）基于注冊表的策略。包括 Windows? 2000 / Windows? Server 2003 操作系統及其組件以及應用程序的組策略。要管理這些設置，您可以使用“組策略”管理單元的“管理模板”節點。（2）安全性選項。 包括針對本地計算機、域和網絡安全設置的選項。（3）軟件安裝和維護選項。用來集中管理應用程序的安裝、更新和刪除。 （4）腳本選項。 包括用于計算機啟動和關閉，以及用戶登錄和注銷的腳本。（5）文件夾重定向選項。 允許您將用戶的特殊文件夾重定向到網絡。 使用組策略，您就可以對用戶工作環境狀態只定義一次，然后靠系統實施管理員定義的策略。本文將就以上內容中比較常用的部分進行介紹。

3、如何使用組策略安裝軟件？3.1; 在組策略編輯器中的位置 對計算機中的每個用戶：計算機配置→軟件設置→軟件安裝 對當前登錄的用戶：用戶配置→軟件設置→軟件安裝

本節中描述的主要是使用較多的前一種情況。

3.2; 原理

在成員計算機重新啟動時，系統會自動檢測是否有組策略需要應用。一旦發現當前計算機或用戶的組策略結果集中指定了軟件安裝或升級，則成員計算機會自動從共享路徑安裝所指定的軟件。在整個過程中，我們需要做兩件事： （1）在域控制器上設置相應的組策略 （2）重啟成員計算機，檢查軟件是否正確安裝3.3; 步驟和示例 我們以安裝LCSClient 為例，來說明使用組策略安裝軟件的過程 （1）拷貝安裝文件（MSI安裝包）到 在一臺成員機上（假設機器名為ComputerA），并為所在目錄設置共享（假設共享名為LCSClient），確保 everyone 可讀 （2）在域控制器上，從管理工具中打開 Active Directory 用戶和計算機 （3）在打開的界面的左邊的樹中，找到所在的域，右鍵→新建→組織單位，輸入名稱（假設為 OUX） （4）右鍵 OUX ，屬性→組策略→新建，選中剛新建的組策略→編輯 （5）在打開的組策略編輯器中，選擇計算機設置→軟件設置→軟件安裝，右鍵 新建→程序包 （6）在選擇路經的輸入框中，輸入 ComputerA.domainnameLcsClient (將domainname 替換位所在的域名)，打開，選擇Communicator.msi ，稍后此程序包會在列表中出現，關閉編輯器，回到 Active Directory 用戶和計算機界面 （7）將要安裝 LCSClient 的機器從 Computers（左樹） 里面移動到 OUX （8）完成，重啟OUX中的機器（可能需要重啟兩次），以測試安裝是否成功，如不成功，則查看所在機器的應用程序日志，并記錄錯誤3.4; 部署過程中應該注意的問題3.4.1; 區分計算機策略和用戶策略 組策略分為兩大類，計算機策略和用戶策略

計算機策略即對活動目錄中的計算機實施的策略。實施計算機策略時，必須將計算機加入需要實施策略的OU。

用戶策略即對活動目錄中的用戶桌面和配置實施的策略。對用戶實施策略時，必須將用戶加入需要實施策略的OU。

3.4.2使用計算機策略以避免用戶權限的問題。

一般來說，安裝軟件應該使用計算機策略，以避免同一個軟件在一臺計算機上被安裝多次，以及因為用戶權限不夠導致的問題。 比如說，用管理員分配的域帳號登錄到本地計算機時，可能是users 或者 power users 組權限，而很多的軟件安裝需要 administrator 組權限。使用計算機策略則不存在此問題，因為使用計算機策略會自動使用管理員帳號安裝。

3.4.3; 應該對OU實施策略而不是整個域 一般來說，不推薦對整個域實施組策略。如果你在所在的域上實施組策略，則無論是計算機策略還是用戶策略，都會被全部的成員機和用戶全部應用。這通常會導致很多問題，比如，很多不應該使用策略的計算機必須一一進行排除。 強烈推薦將您可能需要實施組策略的用戶移至一個單獨的OU中，將可能需要實施組策略的計算機移至另一個單獨的OU中。并對上述兩個OU按照組織機構進行單獨的分組。這樣，您可以對你的用戶和計算機分別實施用戶策略和計算機策略。3.4.4; 發布的軟件所處的共享目錄的位置 使用組策略發布軟件時，軟件所在的共享目錄，最好位于同一個域內的成員機上。并保證此機器開放共享、共享文件夾的訪問權限飽含everyone 的讀權限。域控制器的安全設置比成員機復雜的多，可能會導致無法共享目錄。 在新建組策略>>選擇安裝包時，瀏覽安裝包應該通過 computername.domainnamesharefolder的方式，在實際實施的過程中，這是最保險的方式（對比 IPsharefolder 和 computernamesharefolder 的方式）。3.4.5; 不應刪除或者替換已經發布的軟件安裝包

凡是發布在共享目錄里的軟件（尤其是MSI安裝包）應該盡量予以保留，而不應該被替換，否則可能帶來更新和配置上的問題。某些沒有更新到最新版本的軟件仍然會去舊的位置檢索MSI安裝包來進行配置，一旦那個位置的安裝保不存在或者被不同版本的文件替換，將導致配置失敗，無法使用。 3.4.6刪除策略中的安裝 刪除策略里的安裝包時，應選擇 “允許用戶繼續使用軟件，但禁止新的安裝”，除非你確實要將軟件從已經安裝了的機器上卸載。 刪除安裝的時候，最好不要刪除安裝相關的安裝包，這通常也會導致問題。有關此問題，請參見：3.4.5 3.4.7讓OU使用已有的策略 幾個OU可以共用一個策略，方法是在OU>>屬性>>組策略>>添加 里找到相應的策略鏈接上去 3.4.8為什么某些成員機需要重啟2次以上才會應用組策略 這種情況主要發生在安裝 windows xp 的機器上，windows xp 的本地策略中有一條策略是“啟用快速登錄優化”，此策略默認是啟動狀態，并且會影響組策略的了立即執行。 我們可以在組策略中設置 計算機設置>>管理模板>>系統登錄中將策略“計算機啟動和登錄時總是等待網絡”啟用，以禁用成員機的登錄優化。3.5; 常見錯誤3.5.1; 產品的安裝來源無法使用 安裝失敗，應用程序日志中記錄了事件ID為108的錯誤日志，詳細的日志信息：未能將改動應用于軟件安裝設置。 無法應用軟件更改。應該有詳細的日志記錄。; 錯誤是: 這個產品的安裝來源無法使用。請驗證來源是否存在，是否可以訪問。 導致次錯誤的原因是成員機無法訪問軟件所在的共享目錄。請參考3.3.4 節進行處理3.5.2在同步前臺策略刷新時，組策略框架應該調用擴展 安裝失敗，應用程序日志中記錄了事件ID為108的錯誤日志，詳細的日志信息：未能將改動應用于軟件安裝設置。 軟件安裝策略應用被推遲到下一次登錄，因為管理員為組策略啟用了登錄優化。; 錯誤是: 在同步前臺策略刷新時，組策略框架應該調用擴展。 導致次錯誤的原因是winxp 默認啟動了登錄優化，請參考3.3.8 節進行處理。4、如何使用組策略定義用戶和計算機配置 本節假定您已經知道如何為域或者OU新建和添加策略，如何區分策略中的計算機配置和用戶配置，而且目前你已經打開了組策略編輯器。4.1 賬戶和密碼策略設置 我們使用 活動目錄來管理 用戶和計算機，當然是為了實現我們的管理目的，比如構建一個安全的網絡環境。賬戶和密碼的安全也是其中一個重要的部分，通常，管理員可以定義本地計算機的賬戶和密碼策略，但是，為每一臺計算機定義相同的策略，無疑會浪費很多的時間。使用組策略，您可以輕松的定義整個活動目錄用戶的賬號和密碼策略。4.1.1在組策略編輯器中的位置 計算機配置→Windows設置→安全設置→賬戶策略4.1.2作用 可以設置成員機的帳號和密碼策略 （1）密碼復雜度 （2）密碼長度最小值 （3）密碼過期期限 （4）強制密碼歷史的個數—更改密碼時，不能使用的過去使用過的密碼的個數4.2;用戶IE設置 對于企業來說，定制用戶的 IE 設置也是一件羅嗦但必要的事情。通常，我們可能會需要更改用戶的IE安全設置，或者為用戶設置代理服務器等等。使用組策略，可以完成大部分的配置工作。4.2.1在組策略編輯器中的位置 用戶配置>>Windows設置>>Internet Explorer 維護4.2.2作用 可以對用戶的IE選項進行設置 （1）瀏覽器用戶界面：標題、徽標、工具欄 （2）連接：連接模式和代理服務器設置 （3）URL：主頁、搜索頁、收藏夾內容等 （4）安全：內容分級設置、區域設置、驗證設置 （5）程序：設置電子郵件、日歷、新聞組等使用的程序 （6）高級：企業設置、Internet設置 更詳細的設置，請參看相關的幫助。5、 參考資源;Windows 2000組策略介紹http://www.microsoft.com/china/windows2000/library/howitworks/management/grouppolicyintro.asp組策略設計必備知識概要http://www.microsoft.com/china/technet/prodtechnol/windows2000serv/plan/gpdesout.asp

使用組策略對象設置 Internet Explorer 中的高級設置

http://support.microsoft.com/default.aspx?scid=kb;zh-cn;274846

如何向組策略安全組添加計算機和用戶

http://www.microsoft.com/china/technet/security/guidance/secmod189.mspx