Windows Server 2003 中组策略的应用

首发:http://www.chuiniudi.cn/archives/36
上午学习了一下Windows Server 2003 中的组策略，现在整理一下所学的内容。不知道理解的对不对。如有错误，还请多多指教!
先搭建域环境，在”Active Directory 用户和计算机 里新建一个OU名称为”卫生部”，在”卫生部”ou里面新建一个用户”部长”，然后从Computer里面拖入一个域成员计算机。
打开”卫生部”ou属性，点”策略组”选项卡，点”新建”按钮新建一个组策略，名称为”卫生部”



点击”编辑”按钮，打开组策略编辑器



计算机配置，是应用于OU中计算机的。要使配置生效，需要重启ou中的计算机。
用户配置，是应用于OU中的用户的。要使配置生效，只需要注销用户再重新登录。
计算机配置里面的详细配置项和用户配置里面的详细配置项表面上看起来差不多，实际上还是有很多区别的。
下面介绍几个常用功能:
远程给客户机安装软件。这个功能只能安装msi格式的软件安装包。



注意选择软件包路径时要选择共享的网络路径而不能选择本地路径
比如只能选类似\\192.168.1.1\share\software而不能选c:\share\software
因为组策略应用到用户时是直接把这里选择的路径传送过去的，并没有经过处理，而域用户登陆的那台计算机的C:\share\software里面肯定没有在域控制器上选择的软件安装包。

不允许域成员使用本地管理员登陆。这个功能可以通过开机脚本来实现。
新建一个批处理，内容是 net user administrator &DS*FH#$ (密码随便填)
打开组策略编辑器，计算机设置-Windows设置-脚本 (启动/关机) -启动



注意添加脚本的时候一定要把脚本复制到点击添加时弹出的通用对话框的默认目录



然后重启域成员计算机，重启后域成员计算机的密码就被修改了。
不允许域成员使用某个程序如QQ。
用户配置-Windows 设置-安全设置 右键点击 “软件限制策略”，选择”创建软件限制策略”，点击”其他规则。在右侧窗口右键单击空白处选择新建路径规则。





路径里面填QQ.EXE，也就是QQ的进程名。



文件夹重定向，就是改变OU里面用户的我的文档、桌面、开始菜单等的路径，可以改成网络上的一个网络路径，这样用户无论在那台计算机中登陆，都可以看到自己的“我的文档”。



用户配置-Windows 设置-文件夹重定向，打开“我的文档”的属性，在根路径处填写一个Everyone有完全控制权限的网络路径（可以自己在本机建立这样一个共享）
点击确定，域用户注销重新登录就生效了。如有个别无法应用的情况，请在域成员计算机上使用命令gpupdate /force来刷新策略组配置。
当然，组策略的功能绝对不止这些，只要你能想到，组策略就可以实现。其他的一些功能还请大家详细的看一下组策略里面的配置项。本文出自 “猪笨无罪的服务器笔记” 博客，请务必保留此出处http://zserver.blog.51cto.com/370152/143510