怎样使用组策略部署软件的操作步骤

在WIN2000以上，除了用户工作环境与计算机环境的设置外，组策略还提供了很强大的功能。

列举组策略中的部分功能。

A、帐户策略的设置 B、本地策略的设置 C、脚本设置 D、用户工作环境的设置 E、软件的安装与删除。

F、文件夹的重定向。

□组策略概述 组策略可以针对站点、域和组织单位设置组策略。

这些组策略存储在 x:\WINNT\SYSVOL\sysvol\abc.com\Policies目录下。

组策略分“计算机配置”与“用户配置”两部分。

A、计算机配置：当计算机启动时，就会根据“计算机配置”的内容来设置计算机的环境。

B、用户配置：当用户登录时，就会根据“用户配置”的内容来设置用户的工作环境 注：本地组策略：存储在X:\WINNT\system32\GroupPolicy目录内。

一、组策略的应用顺序与规则： 不同组策略的应用顺序与规则： 1、本地组策略： 2、站点组策略： 3、域组策略： 4、组织单位的组策略： 默认，后应用的策略将覆盖以前的应用的策略。

具体说明如下： 1、如果在高层容器内建立了一个组策略，但是并未在低层容器建立组策略，则低层容器会继承在高层容器内所建立的组策略。

2、如果另外在低层容器内建立了组策略，则低的组策略则要取代高层的组策略。

3、如果父容器未被设置组策略，则低层组策略则不会继承父层组策略。

4、如果父容器设置组策略，但是子容器内的组策略并未为设置。

则会继承父组策略 二、阻止策略的继承 可以在子容器组策略内，通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置，也就是直接以子容顺的组策略为其设置。

三、强迫继承策略。

可以在父容器的组策略内，通过：“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置。

□组策略的对象 设置组策略设置的途径： 根据不同的计算机，可以在以下几位置的。

“域安全策略”或“活动目录用户和计算机”“域控制安全策略”、“本地安全策略”。

（均在“管理工具”内）。

以下利用“活动目录用户和计算机”来设置组策略。

开始——程序——管理工具——活动目录用户和计算机——选中“domain controllers”单击鼠标右键——属性——组策略（GPO） 一、更改组策略 让DOMAIN USERS组内的所有成员都具备“本地登录”的权限。

设置步骤： 1、开始——程序——管理工具——活动目录用户和计算机——选中“DOMAIN CONTROLLERS”单击鼠标右键——属性——组策略。

2、请选定“default domain controllers policy”，然后单击“编辑”。

3、出现“组策略”窗口——计算机配置——WIN设置——安全设置——本地策略——用户权利指派——双击右则的“在本地登录”。

4、出现“安全策略设置”对话框——单击增加——将DOMAIN USERS增加到组内。

二、测试“在本地登录”设置是否正常。

由于改建立的组策略不能马上生效，必须利用以下三种之一来达到目的。

1、在“在命令提示符”下。

输入secedit refreshpolicy machine_policy。

让计算机配置生效，或是用户配置文件：则将machine_policy改为user_policy.即可。

2、将此计算机重启。

3、等待此策略应用到计算机内。

三、新建一个用户，测试一下，能否在本地登录。

□管理模板策略的设置 通过以下范例来设置管理模策略 1、 隐藏用户桌面的“网上邻居”图标。

2、将“开始”菜单中的“运行”“帮助”等命令删除。

3、 在“开始”菜单中添加“注销”的功能。

一、建立练习时所需的组织单位与用户帐户。

1、建立一个组织单位taiwan.。

2、在TAIWAN组织单位内新建一用户帐户TONY。

3、在TAIWAN组织单位内新建一个组织单位SALES。

4、在SALES组织单位内新建一个用户帐户SCOTT。

二、设置与测试组策略的功能。

在TAIWAN组织单位内建立一GPO，然后利用TAIWAN组织单位的用户TONY登录，测试 GPO是否有效。

然后再利用下一层的SALES组织单位内的用户SCOTT测试，是否继承 TAIWAN的GPO设置。

A、在TAIWAN组织单位内建立一个GPO，名称为taiwan policy.。

1、利用ADMINISTRATOR帐户登录。

2、开始——程序——管理工具——活动目录用户和计算机——双击域名—— TAIWAN组织单位——属性——组策略——新建GP0，命名taiwan policy。

B、更改TAIWAN POLICY设置 1、选中“TAIWAN POLICY”——单选“编辑”。

2、用户配置——管理模板——任务栏和‘开始’菜单。

3、双击右则“从‘开始’菜单删除‘帮助‘命令。

” 4、出现属性对话框——启用。

5、确定，完成设置。

C、测试TONY帐户，以及SCOTT帐户是否继承了TAIWAN POLICY组策略。

三、测试组策略的替代功能 在TAIWAN组织单位的下一层组织单位建立一个GPO，然后设置如下：将 将从“‘开始’菜单删除‘帮助‘命令。

”命令禁用。

A、在SALES组织单位内建立一个新GPO 1、利用ADMINISTRATOR帐户登录。

2、开始——程序——管理工具——活动目录用户和计算机——双击域名——在 TAIWAN下的SALES组织单位单鼠标右键——属性——组策略——新建（命名： tainwan-sale policy）——编辑。

3、 出现“组策略”窗口——用户配置——管理...

加入域后软件安装

可以使用组策略来部署，登录域控打开管理工具的以下路径：AD用户与计算机-右击属性-组策略-打开默认域策略（其实就是那个default domain policy）计算机配置-软件安装，右键新建程序包，指定程序包的路径（这里必须为UNC路径，因为是面对网络用户的，也就是\\192.168.0.10\XX这种类型，就算是你本地也必须以这种方式来做），然后右键-指派就可以安装到加入域的计算机上了，如果只想部分计算机安装可以用OU策略来布署，效果一样，但需要把相应计算机拉进OU，但这种委派方法需要文件后缀为MSI的软件才能安装，你可以找一个EXE转MSI的程序，如果你没有我可以发给你，希望我的回答对你有帮助，有其他问题欢迎追问。

我本军团：助人为本，以本会友...

苦逼网管一名,大家如何给企业内部统一部署软件的

Windows Server 2008确实强大。

基于Server 2008D的AD功能更强劲，管理更加细化，特别是在组策略方面有了不少改进。

比如，笔者将要和大家分享的这两例应用，在实践中就能帮你解决很多难题。

1、实现客户端移动设备权限的统一管理 使用过Vista的用户应该知道，通过组策略可以在本地主机实现对移动磁盘（USB存储设备\光驱\移动硬盘）的权限管理。

如果要统一实现对所有客户端（Vista或非Vista）的移动设备的权限管理，该怎么办呢？在Windows Server 2008的域环境下，这一切轻松实现。

首先将Server 2008配置成AC（域控制器），并将所有的客户端加入该域，然后只需在Server 2008上进行如下部署即可。

依次执行“开始→管理工具→组策略管理”打开组策略管理器；找到需要部署该策略的域（本例为 fr.zhongtian.com），展开后定位到Default Domain Policy（默认策略）；右键点击该策略选择“编辑”打开“组策略管理编辑器”，依次展开“计算机配置→管理模板→系统→可移动存储访问”；在右侧找到 “可移动磁盘：拒绝读取权限”和“可移动磁盘：拒绝写入权限”两项，双击启用策略。

最后打开命令行工具（cmd），输入命令“gpupdate /force”更新组策略，使刚才的策略生效，这样默认情况下只有域管理员有权限读写移动磁盘。

（图1） 图1 更改默认域策略 为了验证效果我让某客户端登录fr域，然后插入移动设备（比如U盘），进行文件的读写操作。

如图所示，弹出拒绝窗口该操作被拒绝提示只有管理员才有权限执行操作。

点击“跳过”按钮，输入有权限的用户才可实现操作。

（图2） 图2 拒绝访问 2、自由定制针对用户或者用户组的密码策略和帐户锁定策略 密码是系统安全一道关键屏障，大家知道在在Windows2000/2003上，密码策略只能指派到域（Site）上，不能单独应用于活动目录中的具体对象。

这在实际应用中带来了诸多不便，更多情况下我们需要为不同组的用户部署不同的密码策略和帐户策略。

在Win2008中引入了多元密码策略的技术，使得我们的上述需求得到实现。

还是在AC中（以fr.zhongtian.com域为例），“开始→运行”输入ADSIEdit打开ADSI编辑器。

依次展开“默认命名上下文 [WIN-13VNNRJ6FIP.fr.zhongtian.com] →DC=fr,DC=zhongtian,DC=com→CN=System”定位到CN=Password Settings Container；然后在该节点上单击右键选择“新建→对象”在弹出的对话框中选中“msDS-PasswordSettings”类别，单击“下一步”在cn属性对话框中输入“值”为“fr-pso”（任意）。

然后一路“下一步”依据向导进行密码策略的定制。

其具体的设置项、含义和值分别为： （1）.msDS-PasswordSettingsPrecedence，设置密码策略的优先级，数值越小优先级越高，设置为“10”; (2).msDS-PasswordReversibleEncryptionEnabled，设置是否启用“用可还原的加密来存储密码”策略，其值是个布尔值，可选择FALSE或者TRUE，在此我们设置为“FALSE”; (3).msDS-PasswordHistoryLength，对应组策略中的“强制密码历史”，可选范围是0-1024，我们设置为12；（图3） 图3 密码历史 （4）.msDS-PasswordComplexityEnabled，对应组策略中的“密码必须符合复杂性要求”，也是一个布尔值，我们设置为“TRUE”; (5).msDS-MinimumPasswordLength，设置密码长度最小值为10; (6).msDS-MinimumPasswordAge，设置密码最短使期限为1:00:00:00(1天)； （7）.msDS-MaximumPasswordAge，设置密码最常使用期限为20:00:00:00(20天)； （8）.msDS-LockoutThreshold，设置帐户锁定阀值为3（可以范围0-65535）; (9).msDS-LockoutObservationWindow，设置复位帐户锁定计数器为0:00:30:00(30分钟)；（图4） 图4 帐户锁定计数器 （10）.msDS-LockoutDuration，设置帐户锁定时间为0:00:30:00(30分钟)。

这样，一个自定义的密码和帐户锁定就创建完成了，那么如何应用在具体的某些帐户上呢？还需要进行如下操作。

退回到ADSI编辑器窗口找到刚才创建的fr-pso帐户密码策略对象并双击打开，拖动滑竿找到并选中msDS-PSOAppliesTo属性，点击下面的“编辑”按钮在弹出的对话框中点击“添加Windows帐户”按钮，通过向导将frs全局用户组添加进来，最后“确定”即可。

这样，就将刚才创建的名为fr-pso帐户密码策略赋予frs组中的用户了。

当然，还可以通过添加更多的用户或者用户组。

在实际应用中大家可以根据需要，定制不同的密码策略然后将其赋予特定的用户或者组。

（图5） 图5 添加特定用户 为了验证效果，我们可以做个策略，首先打开“组策略管理编辑”将Default Domain Policy（默认策略）下的“帐户策略”中的“密码策略”进行修改：警用“密码必须符合复杂性要求”，密码长度最小值更改“3个字符”，接着在命令下输入gpupdate /force更新组策略。

下面将ctocio的帐户的密码更改为123，可以看到命令成功完成。

然后我们将ctocio加入frs组，输入同样的命令修改其密码为123，可以看到提示“密码不满足密码策略的要求。

检查最小密码长度、密码复杂性和密码历史的要求。

”，说明我们创建的帐户及其密码策略生...

如何在windows域中,部署3台成员服务器用作sql server服务器

首先，硬件上面要有投入，规模比较大的局域网，防火墙、三层交换机、上网行为管理都不能少。

其次，要有行政手段，建立企业内部上网规范。

再次，还要有技术手段来进行保障，最佳方案是：1. 内网权限管理用AD域。

这样可以用组策略来做很多限制，避免随意安装软件导致局域网安全隐患。

2. 外网权限用防火墙、上网行为管理。

工作时段进行上网限制，否则只要有1-2个人进行P2P下载、看网络视频，外网就基本上瘫痪了。

3. 没有上网行为管理硬件的话，也可以部署上网行为管理软件（比如“超级嗅探狗”、WFilter等）。

可以通过旁路方式监控流量占用、上网行为、禁止下载等，并且和域控结合。

服务器集群 怎么部署网关客户端

过程概述 请求代理、 网关服务器，管理服务器链中的任何计算机的证书。

这些证书导入到的目标计算机使用 MOMCertImport.exe 工具。

将分发给管理服务器 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe。

运行 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 工具启动管理服务器和网关之间的通信 安装网关服务器。

准备安装 在开始之前 网关服务器的部署所需的证书。

您需要有权访问证书颁发机构 （CA）。

这可以是公用 CA （如 verisign），也可以使用 Microsoft 证书服务。

此过程提供了请求，获取，并从 Microsoft 证书服务导入证书的步骤。

代理管理的计算机之间的网关服务器和网关服务器和管理服务器之间，必须有可靠的名称解析。

此名称解析通常是通过 DNS。

但是，如果不能通过 DNS 中获得正确的名称解析，则可能需要手动在每台计算机的主机文件中创建条目。

注释 Hosts 文件位于 \Windows\system32\drivers\ 目录中，并包含有关如何配置的说明。

从 Microsoft 证书服务中获取计算机证书 有关详情，请参阅Windows 计算机的身份验证和数据加密。

分发 Microsoft.EnterpriseManagement.GatewayApprovalTool Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 工具需要只有在管理服务器上，并且它只运行一次。

若要复制到管理服务器的 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 从目标管理服务器，打开Operations Manager安装媒体 \SupportTools 目录。

复制到安装媒体中的 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe Operations Manager安装目录。

注册与管理组的网关 此过程将注册的网关服务器的管理组中，并完成此操作后，管理组发现的库存视图中将显示的网关服务器。

若要运行该网关的审核工具 在管理服务器上已设定的网关服务器安装过程中，在使用登录Operations Manager管理员帐户。

打开命令提示窗口，然后定位到Operations Manager安装目录或目录复制到 Microsoft.EnterpriseManagement.gatewayApprovalTool.exe。

在命令提示符下，运行Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName= /GatewayName= /Action=Create 如果审核成功，您将看到 The approval of server completed successfully.如果您需要从管理组中删除的网关服务器，运行相同的命令，但需使用替换/Action=Delete标记为 /Action=Create标志。

打开 [监控] 视图操作控制台。

选择发现的库存的视图的网关服务器存在。

安装网关服务器 该过程安装的网关服务器。

要在网关服务器的服务器应将向其报告的代理管理的计算机位于同一个域的成员。

提示 安装将会失败 （例如，双击 MOMGateway.msi 安装网关服务器） 启动 Windows 安装程序时如果本地安全策略的用户帐户控制：在管理员批准模式中的所有管理员已都启用运行。

若要从命令提示符窗口中运行操作管理器网关 Windows 安装程序 在 Windows 桌面上，请单击开始，指向 程序，指向 附件，用鼠标右键单击 命令提示符，然后单击 以管理员身份运行。

在管理员：命令提示符处 窗口中，定位到本地驱动器，承载 Operations Manager的安装媒体。

定位到.msi 文件所在的目录键入.msi 文件的名称，然后按 enter 键。

若要安装的网关服务器 登录到具有管理员权限的网关服务器上。

从Operations Manager开始安装媒体中， Setup.exe。

在安装 区域中，单击 网关管理服务器链接。

在欢迎 屏幕中，单击 下一。

在目标文件夹 页面中，接受默认值，或单击 更改 以选择一个不同的安装目录，然后单击 下一。

在管理组配置 页上，键入目标管理组的名称在 管理组名称 字段中，键入目标管理中的服务器名称 管理服务器 字段中，请检查 管理服务器端口 字段是5723，然后单击 下一步。

如果已经启用了其他在操作控制台中的管理服务器通信的端口，则可以更改此端口。

在网关操作帐户 页上，选择 本地系统帐户选项，除非您专门创建一个基于域或本地计算机上的关操作帐户。

单击“下一步”。

在 Microsoft 更新 页面上，还可以指示您要使用 Microsoft 更新，然后单击 下一。

在“可以安装”页上，单击“安装”。

在正在完成 页上，单击 完成。

若要使用命令提示符窗口来安装的网关服务器 登录到具有管理员权限的网关服务器上。

使用“以管理员身份运行”选项打开命令提示符窗口。

运行以下命令，其中 path\Directory Momgateway.msi，位置和 path\Logs 是要用来保存日志文件的位置。

在中找不到 Momgateway.msi Operations Manager的安装媒体。

%WinDir%\System32\msiexec.exe /i path\Directory\MOMGateway.msi /qn /l*v path\Logs\GatewayInstall.log ADDLOCAL=MOMGateway MANAGEMENT_GROUP=＂＂ IS_ROOT_HEALTH_SERVER=0 ROOT_MANAGEMENT_SERVER_AD= ROOT_MANAGEMENT_SERVER_DNS= ACTIONS_USE_COMPUTER_ACCOUNT=0 ACTIONSDOMAIN= ACTIONSUSER= ACTIONSPASSWORD= ROOT_MANAGEMENT_SERVER_PORT=5723 [INSTALLDIR=] 使用 MOMCertImport.exe 工具导入证书 执行此操作，每个网...

ad域实现与多应用系统的单点登录, 必须与应用系统的用户配置做映...

1. 系统概述 国内领先的支持C-S和B-S架构的单点登录实现机制UTrust SSO(Single sign-on)系统是针对国内企事业信息化发展现状而开发的应用系统管理软件。

面对用户的重复登陆，系统管理员繁琐的账号管理工作和系统设置工作，以及如何控制用户的访问权限等问题，UTrust SSO提供了一个完善的解决方案，在异构的IT系统中实现应用系统单点登录，简化用户的登录过程，同时提供集中和便捷的身份管理、安全的认证机制、权限管理和审计，以满足企业对信息系统使用的方便性和安全管理的需求。

2. 系统功能和特点 UTrust SSO单点登录系统提供灵活模块化的解决方案，用户可以将后台应用系统（B/S结构的WEB应用系统和C/S结构的应用系统）和UTrust SSO单点登录系统无缝整合在一起，无须修改原有应用系统，系统主要功能和特点如下： 即插即用方式实现单点登录 对于 B/S结构应用系统，用户只需通过浏览器界面登录一次，即可通过UTrust SSO单点登录系统访问后台的多个用户权限内的Web应用系统，无需逐一输入用户名、密码登录。

对于 C/S结构应用系统，通过IE控件来实现对C/S系统客户端的单点登录，用户输入一次用户名、密码，即可访问所有被授权的C/S系统资源。

无论对于B/S和C/S结构的应用系统，实现单点登录的功能时，后台应用系统无需任何修改。

?后置代理方式实现单点登录 对于有改造条件的B/S结构应用系统，UTrustSSO也提供了后置代理的方式实现单点登录。

SSO 系统提供各种API,Agent代理，对原有应用系统进行改造，改变原有应用系统的认证方式，同时采用认证服务器提供的技术进行一次性身份认证，实现单点登录。

后置代理方式实现单点登录 对于有改造条件的B/S结构应用系统，UTrustSSO也提供了后置代理的方式实现单点登录。

SSO 系统提供各种API,Agent代理，对原有应用系统进行改造，改变原有应用系统的认证方式，同时采用认证服务器提供的技术进行一次性身份认证，实现单点登录。

与AD域结合单点登录 UTrust SSO可以与Windows域进行整合，直接引用AD域中的用户身份信息，不需另行单独维护自己的用户信息。

当用户登录AD域后，用户无需再登录，就可访问其所有有权限访问的系统，无需再次输入用户名和密码。

统一用户身份管理 UTrust SSO 利用账号同步管理模块，将用户的身份信息和密码同步到各个系统的数据库中，系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。

在人员离职、岗位变动时，只需在UTrust SSO管理中心一处更改，即可限制其访问权限，消除对后台系统非法访问的威胁。

方便了用户管理，也防止过期的用户身份信息未及时删除给企业资产带来的安全风险。

统一身份认证 UTrust SSO采用轻量目录存取服务LDAP来建构统一用户信息数据库。

LDAP作为一个公开和开放的目录服务标准，已成为未来身份认证和身份管理的标准，具有很好的互操作性和兼容性，可以为企业搭建一个统一身份认证和管理框架，UTrust SSO系统提供开发接口给新建系统，可为后续新的应用系统开发提供了统一的身份认证平台和标准。

多种身份认证方式 UTrust SSO支持多种身份认证方式，如数字证书，USB Key，动态口令身份认证，同时也保留了传统的静态口令认证，并且为其他认证方式如短信，生物特征等认证方式预留接口，以适应企业对认证方式扩展的需求。

日志和审计报告 UTrust SSO单点登录系统依靠记录最终用户和管理人员的访问过程，建立一套全面的、有效的回溯和追查机制。

同时系统管理员可以实时监测用户对企业各应用系统的访问状态，及时发现非法访问事件，对出现的问题进行事后追溯和责任追究提供实证。

通过对系统运行状态实时监控审计，还增强了系统的可维护性。

主要完成访问行为审计、审计信息查询、审计信息防窜改和黑名单功能等几大功能。

系统集中管理 UTrust安全管理中心为UTrust单点登录系统提供管理功能，实现对用户身份信息，权限，应用系统，审计信息的集中管理。

UTrust安全管理中心基于Web界面，系统管理员通过这个管理中心可对用户，资源，权限及审计信息进行统一的管理，并对UTrust系统本身进行维护管理。

同时系统支持分级授权管理功能，支持总部授权下属单位管理自身的用户，并对其授权，减少总部管理员的负担。

即插即用和灵活部署 UTrust SSO单点登录系统进行安装或方案实施时，只需经过简单的系统配置，即可使用。

对于分布式网络结构和异构系统，可以在不同网络区域的应用服务器上分布式的部署UTrust SSO单点登录系统，并进行系统集群管理，通过集群功能，提高数据通讯时的负载均衡和并发处理能力，得到安全可靠和高效的单点登录服务。

此外，还可以通过双机备份功能，提高整个系统的安全性。

3. 系统环境 客户端支持的操作系统： Windows98/NT/2000/XP 服务器端支持的操作系统： Windows NT/2000、Unix(HP-UX、Solaris、AIX)、Linux、FreeBSD 数据库： Oracle、SQL Server或My SQL等关系型数据库 目录服务器： 标准的LDAP目录服务器

关于单位组建域管理网络的问题！

当然可以做域管理还可以设置域策略让用户不能私自安装更改软件不能私自更改网络地址不能私自访问自己无权限访问的目标而且可以做windows部署以及发布通过服务器在用户电脑上发布安装安装需要的软件客户端域管理的好处就是集中统一而且支持访问控制列表策略定制非常灵活基本可以满足任何访问控制及安全需求而且域里的活动目录功能对单位内的文件传输以及无纸化办公的实现也是相当有好处的

转载请注明出处51数据库 » 域 部署软件