Windows Server 2008 R2之后的组策略环境中,都包含一项新配置“首选项”。“首选项”和策略的最大不同之处是,“首选项”设置值用户可以更改,但是策略属于强制性,用户不能更改。因此“首选项”适合做默认设置。
首选项分类
“首选项”通过GPMC控制台设置,同样分为“计算机配置”和“用户配置”。
计算机配置
计算机配置中的“首选项”设置针对计算机账户,分为“Windows 设置”和“控制面板设置”两部分。
“首选项”和策略还有一个不同点:“首选项”将客户端计算机使用的操作系统区分得很明确,有的设置针对Windows XP操作系统,有的针对Windows 7操作系统等。例如“电源选项”相关“首选项”,新建一个设置时,管理员需要根据目标操作系统的类型设置不同的方案。
用户配置
用户配置中的“首选项”设置针对用户账户,分为“Windows设置”和“控制面板设置”两部分
用户配置“首选项”同样根据操作系统不同,设置不同的参数
批量部署映射磁盘
网络中部署文件服务器后,可能为不同部门映射不同的网络驱动器。域环境中,管理员可以通过主文件夹、登录脚本(bat.vbs)等方式完成磁盘映射。Windows Server 2008 R2之后的AD DS域服务中,为管理员提供更便捷的“驱动器映射”面板,在图形模式下完成网络驱动器映射功能。
映射驱动器的方法
部署AD DS域服务后,映射网络驱动器可以通过多种方法实现。
·Net命令。部署用户启动脚本,通过Net命令映射驱动器。
·主文件夹。设置域用户属性,通过设置主文件夹实现。
·“首选项”设置。本例中使用“首选项”完成网络驱动器映射。
部署“首选项”——映射驱动器
实际应用中,可能所有的用户需要映射名称为“Z”的网络驱动器,该磁盘连接应用程序安装文件夹,但是部分用户需要映射名称为“Y”盘的网络驱动器,“Y”盘仅提供部分用户或者组访问。
1.映射“Z”盘网络驱动器
映射名称为“Z”的网络驱动器,映射目标“\\dc\software”。本例以默认“Default Domain Policy”为例说明。
第1步,打开“组策略管理器”控制台,选择目标组策略对象,编辑该策略,选择“用户配置”-“首选项”-“Windows 设置”,选择“驱动器映射”选项。
右侧空白处,单击鼠标右键,在弹出的快捷菜单中选择“新建”选项,在弹出的级联菜单中选择“映射驱动器”命令。
第2步,命令执行后,打开“新建驱动器属性”对话框。
·“操作”列表框中,选择操作模式为“更新”。
-设置为“创建”,在客户端计算机创建网络映射驱动器
-设置为“替换”,如果客户端计算机已经存在网络驱动器,首先删除已有的网络驱动器,然后使用该设置替换,否则添加新的网络驱动器。
-设置为“更新”,修改客户端计算机的网络驱动器设置,不存在网络驱动器则添加新的网络驱动器。
-设置为“删除”,删除网络驱动器
·“位置”文本框中键入共享文件夹的UNC路径。
·“使用”列表框中键入网络驱动器映射盘符。
其他参数根据需要设置。单击“确定”按钮,完成策略设置。
2.映射“Y盘”网络驱动器
同样的方法映射“Y”盘网络驱动器。
第1步,设置“Y”盘网络驱动器映射目标
第2步,切换到“常用”选项卡,选择“在登录用户的安全上下文中运行”和“项目级别目标”选项。其中:
·“如果发生错误,则停止处理该扩展中的项目”选项。当处理发生错误,则停止运行,不会继续处理下一个策略。
·“在登录用户的安全上下文中运行”。选择该选项后使用当前登录用户的安全属性处理“首选项”,而不是使用本地系统用户处理。
·“当不再应用项目时删除此项目”选项。当组策略对象删除后,客户端计算机中和策略对象设置都会被删除,但是“首选项”设置值会被保留。选择该选项后,“首选项”值也会被删除。
·“应用一次且不重新应用”选项。客户端计算机会定期应用组策略对象的“首选项”值,如果用户更改“首选项”值,选择该设置后下一次应用后又恢复为原来“首选项”设置值。
·“项目级别目标”选项。默认“首选项”值作用域是所有用户或者计算机,选择该选项后,可以精确控制目标用户或者计算机。
第3步,单击“目标”按钮,打开“目标编辑器”对话框
第4步,单击“新建项目”按钮,在弹出的所有选秀爱那个中选择需要的设置,本例中选择“安全组”选项。
第5步,选择“安全组”选项后,对话框上方的文本框中添加“用户是安全组的成员”参数
第6步,单击“组”右侧的“...”按钮,打开“选择组”对话框,设置安全组名称
第7步,单击“确定”按钮,完成安全组设置,返回到“目标编辑器”对话框。其中:
·“组”文本框中显示目标组的名称。
·“SID”文本框显示组的安全标识符
·如果选择“组中的计算机”,“首选项”设置目标是组的计算机。
第8步,单击多次“确定”按钮,完成网络驱动器映射。
策略测试
策略生效后,以域用户“book\wsj”身份登录域,该用户属于安全组“Manager”中的用户,根据“首选项”设置,能够访问“Z”和“Y”盘。客户端计算机运行Windows 7操作系统打开“计算机”后,显示自动创建的网络映射驱动器。从管理角度看,这种方式更方便快捷。
登录用户添加到本地管理员组
某些企业应用中,用户需要“本地管理员”组的权限,需要将每一个在计算机登录的用户都添加到Administrators组中,但是不能赋予“Everyone”用户“本地管理员”的权限。在登录用户可以确认的场合,将目标用户或者组添加到Administrators组即可:在登录步确认的场合,需要不听地添加用户到Administrators组中。Windows Server 2012 AD DS域服务中,提供的“首选项”功能可以方便地登录用户添加到Administrators组中。
部署“首选项”
1.部署任务
将当前登录域用户添加到Administrators组。
2.部署“首选项”设置
第1步,打开“组策略管理器”控制台,选择目标组策略对象,编辑该策略,选择“用户配置”-“首选项”-“控制面板设置”,选择“本地用户和组”选项。
右侧空白处,单击鼠标右键,在弹出的快捷菜单中选择“新建”选项,在弹出的级联菜单中选择“本地组”命令。
第2步,命令执行后,打开“新建本地组属性”对话框。其中:
·“操作”选项设置为“更新”。如果已经存在目标组,在当前组的基础上添加新的设置。
·“组名”详细设置为“Administrators(内置)”。
·用户操作方式设置为“添加当前用户”。
-选择“删除当前用户”,将当前登录用户从目标组删除。
-选择“不要为当前用户配置”,则不对当前登录做任何操作,保持原目标组的成员。
-选择“删除所有成员用户”,将目标组的所有用户删除。
-选择“删除所有成员组”,删除选择的组
·如果要为当前组添加新“成员”,单击“成员”区域的“添加”按钮,选择目标用户或组即可。
第3步,单击“确定”,创建或更新新组。
策略测试
策略生效后,以域用户“book\wsj”身份登录域,该用户默认属于“Users”组。客户端计算机运行Windows 7操作系统,打开“Administrators”组后,当前登录用户添加到“Administrators”组。以用户“demo”身份登录,同样加入到“Administrators”组。
Internet Explorer浏览器设置
当网络中的计算机数量较多,且使用Internet Explorer浏览器时,调整Internet Explorer设置相对比较繁琐。“首选项”为管理员提供一个较好的选择。
Internet Explorer设置
组策略中可以通过“策略”和“首选项”进行Internet Explorer设置。
策略需要对每个配置进行设置。设置过程不直观,需要管理员对IE十分了解,由于组策略作用域影响比较大,因此如果出现错误波及面会很大。
“首选项”策略,提供直观的“Internet Explorer设置”设置界面,通过和Internet Explorer浏览器中近乎完全相同的模式设置Internet Explorer参数,简化操作复杂度,降低出错的几率。确定是“首选项”的设置可以被客户端计算机登录更改。
部署“首选项”
1.部署任务
设置Internet Explorer浏览的“受信任的区域”和“本地Intranet”区域。
2.部署“首选项”设置
第1步,打开“组策略管理器”控制台,选择目标组策略对象,编辑该策略,选择“用户配置”-“首选项”-“控制面板设置”,选择“Internet设置”选项。
右击“Internet设置”,在弹出的快捷菜单中选择“新建”选项,在弹出的级联菜单中选择“Internet Explorer 8和9”命令。注意IE版本不同,设置域也有所不同,根据需要选择需要设置的Internet Explorer版本。
第2步,命令执行后,打开“新建Internet Explorer 8和9 属性”对话框。切换到“安全”选项卡。选择“受信任的区域”选项。
第3步,单击“自定义级别”按钮,打开“受信任的区域”对话框,设置“Active X”的相关操作,那里中全部启用“Acitve X”选项。单击“确定”按钮,完成“受信任的区域”设置。
第4步,同样的方法进行“本地Intranet”区域设置,参数设置完成后,单击“确定”按钮,完成“首选项”设置,返回GPMC控制台。
策略测试
策略生效后,以域用户“book\wsj”身份登录域,该用户组默认属于“Users”组。客户端计算机运行Windows 7操作系统,浏览器版本为“IE 9”,打开“Internet 选项”-“受信任的站点区域”,可以看到Acitve X的相关设置已经启用。
