偶看新闻学校2015南柱赫同款鞋:[第4期实录]Windows 2000/XP/2003组策略配置及常见问题(二)
来源:百度文库 编辑:偶看新闻 时间:2024/04/29 04:57:55
刘大侠,请问一下组策略管理控制台打不开怎么办?
呵呵,不敢称大侠,我知道在高手如云的51cto,人外有人,山外有山。好了,闲话少说,言归正题。
我不太明白你说的打不开是什么样的情景。因为你提出的问题过于简略,我认为有两个可能。所以我要从两个可能的情景来分别予以阐述。
第一个可能就是无意被禁用所致。重新启动系统,按f8后出现启动选项菜单,选择安全模式。进入安全模式后,运行mmc(可以在开始-运行中输入,也可以在命令行提示符下输入),在文件菜单上,单击添加/删除管理单元。单击添加。然后在 available stand-alone snap-ins(可用的独立管理单元)菜单上,单击组策略,然后单击添加。如果不希望编辑“本地计算机”策略,请单击浏览以找到您希望的组策略。如果提示您输入用户名和密码,请输入,然后在返回“选择组策略对象”对话框后单击完成。备注:您可以使用浏览按钮来找到链接到站点、域、组织单位 (ou) 或计算机的组策略对象。使用默认的组策略对象 (gpo)(本地计算机)编辑本地计算机的设置。单击关闭,然后在添加/删除管理单元对话框中,单击确定。选定的 gpo 即显示在控制台根节点下。接下来把原来的设置改回来,重新启动计算机,问题就可以得到解决了。
第二个可能就是windows的系统环境变量发生了改变。这个原因引起故障的现象表现如下:
管理单元初始化失败。
名称:组策略
clsid:{8fc0b734-a0e1-11d1-a7d3-0000f87571e3}
解决方法如下:
1. 检查你的系统环境变量。大部分这个问题是环境变量里面多了一个“\”引起的。
2. 修改你的环境变量,至少要有下面的内容:c:\windows\system32;c:\windows;c:\windows\system32\wbem
3. 运行regedit找到:hkey_classes_root\clsid\{8fc0b734-a0e1-11d1-a7d3-0000f87571e3}\inprocserver32,把default改成:%systemroot%\system32\gpedit.dll。
然后重新注册gpedit.dll也就是regsvr32 gpedit.dll,重启即可解决问题。
设计组策略管理架构最应该注意哪些地方?
定义组策略首先要考虑应用范围是什么:
哪里需要组策略?哪里需要进行筛选?
组策略处理顺序:locak-site-domain-ou
明确组策略的对象数量:
组策略处理的最大数量-999个;
数量取决于你的复杂性和目标,应该尽量少;
明确哪里使用强制执行选项;
设置组策略应用于所有用户和计算机;
不要修改默认策略;
设置组策略的管理委派模型;
一定要检查检查并测试组策略设计使之更高效:
避免过多的gpo链接到同一个用户或计算机以加快客户端登录速度。
禁用gpo中不使用的用户或计算机设置以加快客户端登录速度。
将包含多个设置的多个gpo整合为一个gpo以减少复制。
一定要注意以下几点
不要修改默认的与策略,不要链接外语策略
坚持为企业策略监理独立的组策略对象
如果应用组策略出现预期之外的问题,请以安全模式启动计算机修正策略
使用软件限制策略
在组策略被应用前应在测试环境进行测试
充分利用组策略模型功能评估组策略结构
尽可能将组策略连接到ad的最高级别
不要在具有多于的ad里监理对site的组策略
vista和longhorn中的组策略有哪些改进和增强?
在vista和longhorn中,微软彻底更新了组策略的基础架构。管理员可能并不会发现组策略功能的全新变化到底给组策略的操作带来了什么变化。不过管理员们将会发现,windows vista的组策略比以前 windows 版本中的组策略更加强大。有一点毋庸质疑,就是微软对组策略的基础结构进行了重大调整,具有了新的管理功能、崭新的网络识别特性、新的策略设置、支持多个本地 gpo 、完全集成的组策略管理控制台(group policy management console,即 gpmc,需要下载后安装到 windows xp 和 windows server 2003 上。gpmc 是一个可编写脚本的 microsoft 管理控制台,提供了一个可以简单管理组策略的具。)以及其他功能。总之,相对于以前版本的windows,vista和longhorn 组策略提供了强大灵活的配置管理功能,并显著增加了可配置的设置和新资源,从而提高了系统的安全性(实际上降低了成本)。 这些改进是彻底而全面的。
详情可以参阅微软官方的资料:http://www.microsoft.com/technet ... efault.aspx?loc=zh/
不过我感觉官方的说明似乎过于简略亦不甚明了。
详细说来,大致主要有这么几点:
采用了network location awareness,使工作站和服务器启动时间将更短、无论何时域控制器连接重新可用时,组策略客户端都将应用策略设置、组策略客户端利用network location awareness进行带宽检测,并且不再依赖于icmp协议。
采用group policy service。在新的操作系统中,组策略的基础架构已经完全脱离了winlogon,它以全新的体系结构执行组策略处理和通知。
还有一些我们渴望已久的一些策略:
电源管理设置的组策略部署、屏蔽硬件、增强的安全设置、扩充的internet explorer设置管理、基于物理位置分配打印机、后台智能传输服务(bits)策略、把设备驱动程序安装委托给普通用户、用户账号保护等等,限于篇幅,现在只能介绍个大概。如有兴趣以后我们还可以进行深入探讨。
组策略中的对象gpo是如何保存组策略配置信息的?
windows xp professional(含64位)或 windows server 2003 操作系统的每台计算机都只有一个本地组策略对象 (gpo)。它存储在 systemroot\system32\grouppolicy 中。
除本地组策略对象之外,其他组策略对象都是虚拟对象。gpo 的策略设置信息实际上存储在两个位置:组策略容器和组策略模板。组策略容器是一个 active directory 容器,它存储了 gpo 属性,包括有关版本、gpo 状态和在 gpo 中具有设置的组件列表的信息。组策略模板是文件系统内部的一种文件夹结构,它存储了基于管理模板的策略、安全设置、脚本文件以及与可用于“组策略软件安装”的应用程序有关的信息。组策略模板位于它所在域的 \policies 子文件夹的系统卷文件夹 (sysvol) 中。
在域的组策略里,我对计算机指派了office2003的安装包。但客户机重起,输入域用户和密码点确定后,就没反应了,只能看到背景图,其它什么都没有。过了很欠有个提示:lisse……………….(好像是这个提示,有点不记 ...
1、检查当前用户有无管理员权限;
2、结束进程ikernel.exe后再安装;
3、删除系统安装目录program files\common files\installshield\engine下的所有文件再安装。
4、首先,运行“msiexec /unregserver”,停止windows installer服务;
接着,安装instmsiw.exe(office xp安装盘的根目录下有,也可以从网上下载,地址为:
http://download.microsoft.com/do ... en-us/instmsiw.exe),用winrar解压至设定的目录;进入目录,右键点击msi.inf,选“安装”,右键点击mspatcha.inf,选安装;
最后运行“msiexec /regserver”启用服务。
如果是提示系统管理员设置了系统策略什么的,则在组策略→用户配置→管理模板→windows组件→windows安装服务→将“禁止从媒体安装”设为“禁用”,将“永远以高特权进行安装”设置为“启用”。
能不能举例说明一下,如何使用组策略的进行软件分发和如何制作.msi文件
软件分发是这样进行的:
分配应用程序
打开“软件安装”管理单元,单击控制台中的“软件安装”节点。
位置: group_policy_object_name-计算机配置(或用户配置)- 软件设置- 软件安装,右键单击详细信息窗格,单击“新建”,然后单击“软件包”。 在“打开”对话框中,单击要分配的“windows 安装程序”软件包,然后单击“打开”。(“打开”对话框将显示位于默认软件分发位置的软件包。有关如何设置默认软件分发位置的指示,请参阅相关主题。) 如果 windows 安装程序包位于不同的网络共享位置,请单击“浏览”查找该软件包的分发位置。在“部署软件”对话框中,单击“已分配”,然后单击“确定”。
有很多软件都可以制作msi文件,比如advanced installer,微软光盘也自带一个,不过并不好用,建议找第三方的工具。
QUOTE:
原帖由 quyanqing 于 2006-11-30 16:11 发表vista/longhorn等组策略使用xml格式的策略配置的优势是什么?
vista和longhorn采用了新的管理模板文件格式—— admx。自从在windows nt 4.0中发布以来,管理模板文件一直使用着单独的文件格式,也就是我们所熟悉的adm文件。管理模板文件里包含了标记语言,它用来描述基于注册表的组策略。然而,对于喜欢直接面对模板文件内容并按照自己需要进行修改的windows管理员来说,adm模板文件虽然为修改注册表提供了必要的方法,但是也带来了不少不便之处,例如版本控制,多语种支持上的天生缺陷等。并且,对于一种独立格式的文件来说,学习与使用上也会麻烦得多。终于,在windows vista中,微软开始务实地解决这个问题,并由此带来了新的管理模板文件格式——admx。admx文件是一种基于xml的文件,这种新管理模板文件的出现,使得在vista和longhorn server中管理基于注册表的策略设置变得更加简便。
在windows vista中,admx文件划分为语言中立和语言特定的资源,以便适用于所有的组策略管理员——这对那些跨国公司的域管理所带来的好处是不言而喻的。并且,组策略工具可根据管理员配置的语种来调整他们的ui。只需要确保特定语种的资源文件可用,你就可以添加新的语种到策略定义集中。除了在多语种上的优势以外,新的admx文件格式拥有以下的新特性:
基于xml的策略定义文件。除了易于在多语种环境下进行策略管理之外,基于xml这种通用文件格式本身就为管理员进行自动和手动管理带来了极大的便利。因为他们可以把以往xml方面的知识直接应用到admx文件的创建与编辑中,甚至是编写自己的策略管理工具,而不需要学习一种新的语法。
集中存储admx文件。集中存储是一个创建在sysvol中的域范围的目录。集中存储admx不仅可以减少额外的存储要求,最重要的就是,它可以集中地更新和管理admx文件,而不再需要存放在每一个gpo中,从而极大提高复制的效率并减少带宽占用。
组策略工具兼容。组策略管理工具可以读取任何存储在本地或是gpo中的adm文件。它确保了vista、longhorn server以及之前版本操作系统在管理上的互操作性。
需要注意的就是,对于那些admx文件中才有的策略设置将只可用于windows vista和longhorn server。
QUOTE:
我公司建了一个2003的域控制器,但很多客户端安装了防火墙和杀毒软件以后,登入到域以后,就不能自动启动了!请问我该如何设置,才能让客户端连到域又能自动的启动防火墙和杀毒软件!
专家回复:
登录域后,他们的域帐户默认是本机的User,要把他们的域用户加入到本机的power users组。
域里的用户在域里的计算机上,默认仅仅只有users权限。
加入方法是:我的电脑-右键-管理-本地用户和组-在power users组里加入。