听完了宋SIR的讲座,心里就十分的震撼,今天终于抽出时间来将内容与大家分享,在windows server 2003中,虽然组策略的应用很广泛,但除了高端人士,很难感受到组策略的精彩,今天我就要带你们看看组策略的神话。只有想不到,没有做不到,组策略就是这样的一个人。在接下来的时间内,我会跟大家分享以下几点内容,包括如何加速运用组策略,解脱沉重的策略使用,并利用组策略对USB设备的控制。在一些特殊应用中,我们希望在客户端让员工只能运用IE浏览器进行办公,以上内容,在下面都会跟大家一一分享。
我们先来看一下我们沉重的工作吧。每当我们需要配置一台新的服务器,就需要应用组策略进行一大堆的设置。不论是我们跳槽也好,新增设备也好,是否能够将我们以前做过的事情不用重复再重复的去做呢。在windwos server 2008中就是很容易实现的。首先我们打开windows server 2008中的组策略管理器(演示过程以活动目录为基础)。
看到黄色的选项,starter gpo,跟我们知道的组策略模板不相同,它是我们自己创建的模板。只有在windows server 2008中才可以见到的,我们选择在starter gpo中新建一条,选择编辑。进行我们对企业的一系列的策略编辑。
我们在这里进行我们需要的操作,大部分企业的组策略设置大致都是相同的,管理人员每到一个新的环境,或者需要进行迁移,搭建辅助服务器的工作的时候,需要我们将这里同样的策略不停的重复,而这个starter gpo就相当于我们的脚本,将其保存,然后无限使用。
我们右键选择我们设置好的starter gpo选择备份,输入路径和名称后就成功了。备份完成后我们可以看到输出的一个目录,里面存放着我们的设置。我们可以利用这个目录进行还原,大大减少了我们的工作量。右键starter gpo选择管理备份,选择我们备份的目录然后进行还原。
导入之后,我们在组策略对象中,选择新建,选择我们设定的GPO。
这样,我们刚刚做的设置就完全的进入了这条新的组策略中,我们可以利用这种方法将繁重的工作减轻到最低。windows server 2008创造了这一切。
其实在windows server 2003中的筛选器也是很常用的,但在windows server 2008中更人性化,我们来看看windows server 2008中筛选器的效果。
我们任意选择一条组策略进行编辑,然后选择一项进行筛选器编辑。在windwos server 2008中我们有3种方式进行筛选,首选我们可以通过管理员的操作进行筛选,我们有管理,配置,注视三个选项可以选择,如果我们想知道以前的管理员对服务器运用了哪些组策略,我们选择已管理,将其他两项改为任何,然后确定,在下方的所有设置中可以找到我们想要的东西。
加速应用暂时说到这里,如果以后了解到有另外的方法会第一时间分享。下面我们来看一下特殊运用,我们可以利用组策略限制我们的usb设备,不仅如此,我们还可以利用组策略限制我们厂商的USB设备。当听到宋SIR这样说了以后,底下也是一片茫然,windows server 2008如此智能?
我们可以通过不同的选项,限制单独的USB设备,也可以限制这一类的设备。并不是简单的禁用掉USB口,那样的话我可以拿胶水把接口封上了。我们是要利用组策略进行USB筛选,让计算机只能识别我们需要他使用的设备,或者拒绝某一类的设备。我们打开组策略,找到我们设置的地方。
我们可以看到,不但可以限制USB口,还可以设置对驱动程序的限制。这里我们随便找一个设备进行演示。我们选择阻止安装下列任何设备IP相匹配的设备。
这里让我们输入需要限制的ID号。ID号在哪里找呢?在网上也是能找到的,我们这里简单的看一下。打开我们的设备管理器,任意选择一个设备,右键选择属性。
在下拉箭头中我们可以选择设备ID号和GUID号,设备ID号就是限制单独的设备,而键入GUID号后,这一类的设备将都会被禁用,如此类推我们也可以通过这样的方法让客户机只能使用我们要求的设备。
最后我们来看一看如何让员工登陆计算机后只有IE界面,而关掉之后就黑屏的方法。我们在用户配置中找到系统配置。
然后我们选择只运行指定的Windows应用程序,选择它,然后启用,选择显示,并在其中添加我们要的IE浏览器。
这里是IE浏览器的默认路径,如果客户机的配置文件不相同,我们做相应的设置就好了。确定后我们的客户机就只能用IE浏览器了。黑屏后员工选择Ctrl+Alt+Del进行注销或者关机,并且我们可以在组策略中将任务管理器进行隐藏,就算员工想做什么,也无法下手了。我们也可以通过脚本程序设置当我们用户关闭浏览器的时候直接注销,让员工更加方便一些,让网络管理也更加轻松一些。
本文转自 郑伟 51CTO博客,原文链接:http://blog.51cto.com/zhengweiit/299093