用户策略即对活动目录中的用户桌面和配置实施的策略 。对用户实施策略时,必须将用户加入需要实施策略的OU 。
3.4.2使用计算机策略以避免用户权限的问题 。
一般来说,安装软件应该使用计算机策略,以避免同一个软件在一台计算机上被安装多次,以及因为用户权限不够导致的问题 。
比如说,用管理员分配的域帐号登录到本地计算机时,可能是users 或者 power users 组权限,而很多的软件安装需要 administrator 组权限 。使用计算机策略则不存在此问题,因为使用计算机策略会自动使用管理员帐号安装 。
3.4.3; 应该对OU实施策略而不是整个域
一般来说,不推荐对整个域实施组策略 。如果你在所在的域上实施组策略,则无论是计算机策略还是用户策略,都会被全部的成员机和用户全部应用 。这通常会导致很多问题,比如,很多不应该使用策略的计算机必须一一进行排除 。
强烈推荐将您可能需要实施组策略的用户移至一个单独的OU中,将可能需要实施组策略的计算机移至另一个单独的OU中 。并对上述两个OU按照组织机构进行单独的分组 。这样,您可以对你的用户和计算机分别实施用户策略和计算机策略 。
3.4.4; 发布的软件所处的共享目录的位置
使用组策略发布软件时,软件所在的共享目录,最好位于同一个域内的成员机上 。并保证此机器开放共享、共享文件夹的访问权限饱含everyone 的读权限 。域控制器的安全设置比成员机复杂的多,可能会导致无法共享目录 。
在新建组策略>>选择安装包时,浏览安装包应该通过 computername.domainnamesharefolder的方式,在实际实施的过程中,这是最保险的方式(对比 IPsharefolder 和 computernamesharefolder 的方式) 。
3.4.5; 不应删除或者替换已经发布的软件安装包
凡是发布在共享目录里的软件(尤其是MSI安装包)应该尽量予以保留,而不应该被替换,否则可能带来更新和配置上的问题 。某些没有更新到最新版本的软件仍然会去旧的位置检索MSI安装包来进行配置,一旦那个位置的安装保不存在或者被不同版本的文件替换,将导致配置失败,无法使用 。
3.4.6删除策略中的安装
删除策略里的安装包时,应选择 “允许用户继续使用软件,但禁止新的安装”,除非你确实要将软件从已经安装了的机器上卸载 。
删除安装的时候,最好不要删除安装相关的安装包,这通常也会导致问题 。有关此问题,请参见:3.4.5
3.4.7让OU使用已有的策略
几个OU可以共用一个策略,方法是在OU>>属性>>组策略>>添加 里找到相应的策略链接上去
3.4.8为什么某些成员机需要重启2次以上才会应用组策略
这种情况主要发生在安装 windows xp 的机器上,windows xp 的本地策略中有一条策略是“启用快速登录优化”,此策略默认是启动状态,并且会影响组策略的了立即执行 。
我们可以在组策略中设置 计算机设置>>管理模板>>系统登录中将策略“计算机启动和登录时总是等待网络”启用,以禁用成员机的登录优化 。
3.5; 常见错误
3.5.1; 产品的安装来源无法使用
安装失败,应用程序日志中记录了事件ID为108的错误日志,详细的日志信息:未能将改动应用于软件安装设置 。无法应用软件更改 。应该有详细的日志记录 。; 错误是: 这个产品的安装来源无法使用 。请验证来源是否存在,是否可以访问 。
导致次错误的原因是成员机无法访问软件所在的共享目录 。请参考3.3.4 节进行处理
3.5.2在同步前台策略刷新时,组策略框架应该调用扩展
推荐阅读
- 绿色由什么色和什么色组成
- 世卫组织是什么组织
- 倒班助手中更改班组具体方法介绍
- 涤纶氨纶锦纶的区别
- 用软路由搭建vpn服务器
- Cisco网络应用中基于策略路由的配置
- 无线网卡链接无线路由组网设置详解
- Cisco 3800系列集成多业务路由器详解组图
- 水稻稻纵卷叶螟为害特点及防治策略
- Symbian与Windows Mobile之争