6425C-Lab7 使用组策略管理用户桌面

共包括3个实验

实验7A：管理管理模板和中央存储

实验7B：管理组策略首选项

实验7C：使用GPSI管理软件

==========

实验7A

共有1个练习。

练习1：管理管理模板和中央存储

任务1：查看管理模板的语法

　　打开文件夹%SystemRoot%\PolicyDefinitions，再打开所需的区域与语言所在的文件夹，例如zh-CN。在这个文件夹中，用记事本打开文件ControlPanelDisplay.adml 。

　　找到ScreenSaverIsSecure字符串，这是关于“密码保护屏幕保护程序”的定义。关闭这个文件。

　　回到文件夹%SystemRoot%\PolicyDefinitions，用记事本打开文件ControlPanelDisplay.admx，找到ScreenSaverIsSecure字符串。相关的代码如下：

<policy name="CPL_Personalization_ScreenSaverIsSecure" class="User"         displayName="$(string.CPL_Personalization_ScreenSaverIsSecure)"          explainText="$(string.CPL_Personalization_ScreenSaverIsSecure_Help)"          key="Software\Policies\Microsoft\Windows\Control Panel\Desktop"         valueName="ScreenSaverIsSecure">   <parentCategory ref="Personalization" />  <supportedOn ref="windows:SUPPORTED_Win2kSP1" />  <enabledValue>     <string>1</string>   </enabledValue>  <disabledValue>      <string>0</string>   </disabledValue> </policy>

　　上述代码表示了该模板的一部分定义：displayName表示其在GPME中显示的策略名称；explainText将在策略设置中显示对应的解释文本；key为其生效时将修改对应的注册表的键与键值。enabledValue表示当其启用时的注册表的健值；disabledValue表示当其禁用时的注册表的键值。

 

任务2：管理经典管理模板（ADM文件）

　　将本文的附件下载到本机，解压到C:\LabFiles。由于附件大于2MB，下载地址： http://down.51cto.com/data/612172

　　 打开GPMC，编辑“Default Domain Policy”。

　　展开左侧的树型结构：“用户配置”、“策略”、“管理模板”。右键点“管理模板”，选择“添加/删除模板”。

 

　　在“添加删除模板”对话窗口点“添加”，然后浏览到C:\LabFiles\Office 2007 Administrative Templates，选择ADM文件夹，再选择对应的语言所在的文件夹（例如：zh-cn），点“打开”。

　　展开“管理模板”、“经典管理模板（ADM）”、“Microsoft Office 2007 System”。

　　在“管理模板”上点右键，选择“添加/删除模板”，然后删除office12管理模板。最后，关闭“组策略管理编辑器”。

 

任务3：管理ADMX和ADML文件

　　打开C:\LabFiles\Office 2007 Administrative Templates\ADMX，选择所有的*.ADMX文件和zh-cn文件夹， 将其复制到%SystemRoot%\PolicyDefinitions，并根据提示合并zh-cn文件夹。

　　编辑组策略，在“组策略管理编辑器”中展开“用户配置”、“管理模板”，可见Microsoft Office 2007组策略设置文件夹。

 

任务4：创建中央存储（central store）

　　在“命令提示符”下，运行以下命令：

C:\Users\Administrator> md \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions\zh-cn
C:\Users\Administrator> xcopy %systemroot%\PolicyDefinitions \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions
C:\Users\Administrator> xcopy %systemroot%\PolicyDefinitions\en-us\*.* \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions\en-us\*.*
C:\Users\Administrator> xcopy %systemroot%\PolicyDefinitions\zh-cn \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions\zh-cn 

　　对比组策略的变化

==========

实验7B

共2个练习。

练习1：配置组策略首选项（perferences）

任务1：在桌面上添加notepad的快捷方式

　　编辑组策略Default Domain Policy，在“组策略管理编辑器”中展开“计算机配置”、“首选项”、“Windows 设置”，在“快捷方式”上点右键，选择“新建”、“快捷方式”。

　　在“新快捷方式 属性”对话窗口，在“常规”选项卡上选择“操作”为“创建”，“位置”为“所有用户桌面”，“名称”为“Notepad”，“目标路径”为“C:\Windows\System32\notepad.exe”。

　　在“常用”选项卡，勾选“项目级别目标”，然后点“目标”。

 

　　注意：Windows Server 2008的选项卡不同。

　　 在“目标编辑器”窗口，在菜单中选择“新建项目”，再选择“计算机名称”。 

 

 　　在名称解析的单选框中选择“DNS”，然后输入计算机的FQDN为CL1.contoso.com 。完成后点“确定”。

　　在“新快捷方式 属性”对话窗口点“确定”。

 

任务2：为所有的Windows 7计算机在C盘上创建一个名为Reports的新文件夹

　　在“组策略管理编辑器”中展开“计算机配置”、“首选项”、“Windows 设置”，在“文件夹”上点右键，选择“新建”、“文件夹”。

　　在“新建文件夹属性”窗口，选择“操作”为“创建”，输入“路径”为C:\Reports。 

  

　　在“常用”选项卡，勾选“项目级别目标”，然后点“目标”。  

  

　　在“目标编辑器”的菜单中选择“新建项目”，选择“操作系统”，然后下方的在“产品”下拉列表中选择Windows 7。然后点“确定”。 

　　在“新建文件夹属性”窗口点“确定”。

 

任务3：配置驱动器映射

　　在HQDC1上共享一个文件夹，共享路径为：\\HQDC1\Data

　　在“组策略管理编辑器”中展开“用户配置”、“首选项”、“Windows 设置”，在“驱动器映射”上点右键，选择“新建”、“映射驱动器”。

　　选择操作为“创建”，位置为\\HQDC1\Data，勾选“重新连接”，输入“标记为”Data，“驱动器号”使用P 。完成后点“确定”，最后关闭“组策略管理编辑器”。

 

练习2：检验组策略首选项的应用

任务1：检验首选项是否被应用

　　登入CL1，检查桌面是否存在Notepad的快捷方式，检查是否存在C:\Reports。再检查是否将\\HQDC1\Data映射成驱动器P。

==========

实验7C

共2个练习

练习1：使用GPSI（组策略软件安装）部署软件

　　打开“Active Directory用户和计算机”，在Groups\Application这个OU下面创建一个名为App_XML Notepad的组。

　　在Domain Controllers这个OU下面，右键点HQDC1，选择“管理”。

 

　　勾选“自定义权限”，然后点“自定义”。 

 

 

 

　　注意：Windows Server 2008 的界面不同。

 

　　在“Windows安全”窗口，询问如何应用父项的权限。Windows Server 2008 R2版本选择“添加”，旧版本则选择“复制”。 

 

　　注意：Windows Server 2008 的界面不同。

 

　　删除Users、CREATOR OWNER的权限。 

　　将本文附件的MSI安装包解压，将XmlNotepad.msi文件复制到C:\Software\XML Notepad目录下。修改XML Notepad文件夹的权限。将App_XML Notepad组加入。

任务2：创建一个软件部署的GPO

　　打开“组策略管理”（GPMC），在“组策略对象”中新建一个名为“XML Notepad”的GPO。

　　编辑该GPO，在“组策略管理编辑器”中展开“计算机配置”、“策略”、“软件设置”、“软件安装”。

 

　　浏览\\HQDC1\Software\XML Notepad文件夹，选择XmlNotepad.msi文件，然后点“打开”。 

 

 

　　稍后，出现属性编辑对话窗口。

 

　　注意：考虑到该MSI文件的语言版本等因素，因此，在上图点“高级”按钮，勾选以下选项。

　　完成上述设置，关闭“组策略管理编辑器”。 

　　在“组策略管理”中，在“组策略对象”中找到XML Notepad，在右侧的详细窗格中编辑它的作用域。将Authenticated Users删除，添加App_XML Notepad组。 

　　将此GPO链接到Client Computers这个OU。

　　打开“Active Directory用户和计算机”，确认计算机CL1已经位于Client Computers这个OU。

 

任务3：为计算机部署软件

　　打开“Active Directory用户和计算机”，展开Groups，再展开Application，修改App_XML Notepad组的属性，在成员中添加名为CL1的计算机帐户。

 

任务4：确定软件部署成功

　　重新启动CL1计算机，以contoso\ZhangS登入。打开“所有程序”中的“XML Notepad”应用程序。

 

练习2：使用GPSI更新应用程序

任务1：使用GPSI创建一个更新包

　　类似于练习1的任务2，编辑该GPO，在“组策略管理编辑器”中展开“计算机配置”、“策略”、“软件设置”、“软件安装”。在“软件安装”上点右键，选择“新建”，再选择“数据包”。

　　浏览\\HQDC1\Software\XML Notepad文件夹，选择XmlNotepad.msi文件，然后点“打开”。 类似于练习1的任务2的步骤，直到显示下图。

 

 

 

　　由于这个升级包只是一个模拟操作，因此在新生成的这个包上点右键，选择“所有任务”，再选择“删除”。