使用域组策略/脚本统一配置防火墙
目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置;
统一配置可以通过域策略中自带的防火墙模板来设置,也可以通过使用bat脚本来配置,下面即分别演示配置方法;
1 域组策略统一配置防火墙
使用域管理员登录域控制器,打开“管理工具>组策略管理”;
在目标组织单位右击,新建GPO;
1.1 禁用客户端防火墙
1.1.1 域策略配置
右击目标OU的GPO,选择编辑GPO,选择“计算机配置>策略>Windows设置>安全设置>系统服务”;
选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务,并禁用该俩项服务;
结果如下;
1.1.2 查看客户端结果
重启XP客户端查看结果
重启Win7客户端查看结果
1.2 开放客户端防火墙端口
(注:首先将上面组策略中的系统服务设置还原在进行下一步的配置)
1.2.1 域策略配置
右击目标GPO选择编辑,选择“ 计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”,下面的子集即为客户端防火墙配置项目,此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集,其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用;
组策略设置描述
Windows 防火墙: 保护所有网络连接
用于指定所有网络连接都已启用Windows 防火墙。
Windows 防火墙: 不允许例外
用于指定所有未经请求的传入通信将被丢弃,包括已添加到例外列表的通信。
Windows 防火墙: 定义程序例外
用于通过应用程序文件名定义已添加到例外列表的通信。
Windows 防火墙: 允许本地程序例外
用于启用程序例外的本地配置。
Windows 防火墙: 允许远程管理例外
用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM),它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。
Windows 防火墙: 允许文件和打印机共享例外
用于指定是否允许文件和打印机共享通信。
Windows 防火墙: 允许ICMP 例外
用于指定允许哪些类型的非请求Internet 控制消息协议(ICMP) 通信。
Windows 防火墙: 允许远程桌面例外
用于指定计算机是否可接受基于“远程桌面”的连接请求。
Windows 防火墙: 允许UPnP 框架例外
用于指定计算机是否可以参与UPnP 发现。
Windows 防火墙: 禁止通知
用于在应用程序使用新Windows 防火墙应用程序编程接口(API) 请求已添加到例外列表的通信时禁用通知。
Windows 防火墙: 允许日志记录
用于启用已丢弃通信、成功连接的记录,和配置日志文件设置。
Windows 防火墙: 禁止对多播或广播请求的单播响应
用于丢弃为响应多播或广播请求所发送的单播数据包。
Windows 防火墙: 定义端口例外
用于通过TCP 和UDP 端口指定已添加到例外列表的通信。
Windows 防火墙: 允许本地端口例外
用于启用端口例外的本地配置。
还可以配置“Windows 防火墙: 允许通过验证的IPSec 旁路”策略设置,可以在“组策略编辑器”管理单元中的以下位置找到该设置:
计算机配置\管理模板\网络\网络连接\Windows 防火墙
该策略设置允许从使用IPSec 进行验证的指定系统传入非请求通信。
1.2.2 案例:开放客户端PING
如上定位到“域配置文件”双击右侧的“Windows防火墙:允许ICMP例外”;
在弹出的编辑对话框如下图勾选“已启用”以及“允许传入回显请求”并单击“应用>确定”完成编辑;
1.2.3 案例:开放固定端口
如上定位到“域配置文件”双击右侧的“Windows防火墙:定义入站端口例外”;
在弹出的设置窗口,勾选“已启用”单击下方“显示”按钮,在显示内容窗口中输入“139:TCP:*:enabled:testport”,填写完成后单击“确定>应用>确定”退出编辑框(为了方便测试采用139来测试,也可以使用其他端口来测试);
释意:
139:端口
Tcp:端口类型
Enabled:开放/拒绝
Testport:自定义入站策略名称
1.2.4 查看客户端结果
重启XP客户端查看Ping开放结果;
重启XP客户端端口开放情况;
重启Win7客户端查看Ping结果;
重启Win7客户端查看端口开放情况;
2 脚本统一配置防火墙
2.1 禁用客户端防火墙
通过脚本禁用(关闭)防火墙有俩种方式,一种是通过脚本来禁用防火墙服务来实现,一种是通过Windows自带的netsh firewall命令来实现;
2.1.1.1 通过sc.exe禁用防火墙服务
这里简绍的sc.exe(ServiceControl)是dos命令,该命令从WindowsXP开始为DOS自带,可以实现对Windows 服务启动、禁用、删除及服务类型等操作;
sc.exe常用功能简介
修改服务启动启动类型
sc config 服务名称start= demand
//修改服务启动类型为手动启动
sc config 服务名称start= disabled
//修改服务启动类型为禁止
sc config 服务名称start= auto
//修改服务启动类型为自动
启动或停止服务
sc stop/start 服务名称
(注:如果服务名称中有空格需要使用双引号包括)
Sc.exe禁止防火墙服务;
因为sc可以禁止服务,所以可以通过禁止防火墙服务来实现关闭防火墙;
XP防火墙服务名称为“ShareAccess”显示名称为“Windows Firewall/Internet Connection Sharing (ICS)
”;
Win7防火墙服务有俩个分别为:服务名称“MpsSvc”显示名称“Windows Firewall”、服务名称“SharedAccess”显示名称“Internet Connection Sharing (ICS)”;
可以将命令写成bat脚本通过域策略中的脚本策略统一部署,也可以在客户端单独执行,脚本内容如下:
XP关闭防火墙脚本
@echo off
sc stop ShareAccess
::停止ShareAccess服务
sc config ShareAccess start= disabled
::将ShareAccess启动类型设置为禁止
Exit
===================================================================================== ========
XP启动防火墙脚本
===================================================================================== ========
@echo off
sc config ShareAccess start= auto
::将ShareAccess启动类型设置为自动启动
sc start ShareAccess
::启动ShareAccess服务
Exit
===================================================================================== ========
Win7关闭防火墙脚本
===================================================================================== ========
@echo off
sc stop MpsSvc
::停止MpsSvc服务
sc stop SharedAccess
::停止SharedAccess服务
sc config MpsSvc start= disabled
::将MpsSvc启动类型设置为禁止
sc config SharedAccess start= disabled
::将SharedAccess启动类型设置为禁止
Exit
Win7启动防火墙脚本
===================================================================================== ========
@echo off
sc config MpsSvc start= auto
::将MpsSvc启动类型设置为自动
sc config SharedAccess start= auto
::将SharedAccess启动类型设置为自动
sc start MpsSvc
::启动MpsSvc服务
sc start SharedAccess
::启动SharedAccess服务
Exit
===================================================================================== ========
2.1.1.2 通过netsh firewall关闭防火墙
netsh firewallshow state
//查看防火墙的状态
netsh firewall set opmode disable
//禁用系统防火墙
netsh firewall set opmode enable
//启用防火墙
2.2 开放客户端防火墙端口
2.2.1 案例:开放客户端PING
netsh firewall set icmpsetting 8
//开启ICMP回显
netsh firewall set icmpsetting 8 disable
//关闭回显
2.2.2 案例开放固定端口
允许文件和打印共享文件和打印共享在局域网中常用的,如果要允许客户端访问本机的共享文件或者打印机,此处即依次为案例可分别输入并执行如下命令:
netsh firewall add portopening UDP 137 Netbios-ns (允许客户端访问服务器UDP协议的137端口)
netsh firewall add portopening UDP 138 Netbios-dgm (允许访问UDP协议的138端口) netsh firewall add portopening TCP 139 Netbios-ssn (允许访问TCP协议的139端口) netsh firewall add portopening TCP 445 Netbios-ds (允许访问TCP协议的445端口) 命令执行完毕后,文件及打印共享所须的端口都被防火墙放行了。
【IT168 专稿】作为一名网管员,你是否经常会被一些软件安装的问题所困扰呢?比如说在网络环境下安装软件!面对网络环境下数量众多,需求各异的用户,硬件配置不同,用途也不同的计算机,几乎每天都有各种各样关于软件安装的需求,对于此你是否感到疲于奔命,无所适从呢?Windows 2000中的组策略软件部署就可以帮我们解决这个困扰,让这些令人烦恼的事情变的轻松起来,使我们广大的网管员朋友彻底的摆脱软件部署的烦恼,省心又省力! 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1(点击看大图) 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容,可以使用隐藏共享文件夹,即在共享名字后加$符号。 三、创建组策略对象
(完整)域组策略--+域控中组策略基本设置 编辑整理: 尊敬的读者朋友们: 这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)域组策略--+域控中组策略基本设置)的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。 本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)域组策略--+域控中组策略基本设置的全部内容。
域控中组策略基本设置 计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!—-—-—gpmc.msi (工具) 使用:运行---〉gpmc。msc 如下键面: 文件夹重定向: 1。在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!)
2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组
3.用本地用户登录机器查看! 禁止卸载: 1。权限domain user + 管理模板(相当于改动注册表!!)
2.再把控制面板里的“添加删除程序"禁用
禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb。adm 2. 3。 4。
WINDOWS SERVER 2008 R2 域控制器安装过程 有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。 由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环
境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。 图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图2)。
组策略分发软件全攻略 2008-12-23 13:26 在规模比较大的网络环境里面,为了对服务器和客户机上的软件、系统补丁进行集中统一的管理,我们可能会用到SUS、WSUS、SMS等。SUS、WSUS管理系统更新,不在本文讨论,请参考其它相关技术文档。虽然SMS功能较强大,兼容性好,绝大多数应用软件都可以用它来管理,但是它比较复杂,实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话,其实我们还是可以回归到比较原始的技术: 利用GPO实现软件设置 ● 分发软件 ● 修复软件 ● 删除软件 ● 升级软件 优点:易实现 缺点:功能简单、兼容性差(只能分发winodows安装程序包——.msi,exe 封装的程序安装包要用Advanced Installer重新封装成msi文件) 实现:前提是熟悉Winodows Server活动目录的基本管理,理解组策略,熟悉通过AD部署组策略 一、获取要分发的软件
如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用,但都是exe封装的安装包。因为通过组策略只能够分发msi封装的程序安装包,所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包: 1、运行Advanced Installer,打开新建工程向导,按向导做 选择“语言”、“重新包装安装”——>“确定” 2、按向导提示,关掉真正运行的其它程序,下一步
3、选中捕获新的安装
4、指定要重新包装的源程序,并设置名称、版本等信息 5、如图,选中新的系统捕获
6、指定“安装捕获配置文件”保存路径,其它默认
组策略分发Adobe Reader 10教程 1,实验环境 域控:Windows Server 2008 R2 客户端:Windows XP SP3 32位 Adobe Reader版本:10.1.4 2,获取分发Adobe Reader的许可协议 按照Adobe公司的要求,分发Adobe Reader需要取得许可,仅为形式上的东西,申请网址为https://www.doczj.com/doc/6c176832.html,/cn/products/reader/distribution.html?readstep,申请成功后Adobe公司会邮件通知你可以开始分发Adobe Reader,免费的。 3,下载Adobe Reader msi包 官方下载地址:ftp://https://www.doczj.com/doc/6c176832.html,/pub/adobe/reader/win/。Adobe Reader 10.1.4版本只有MSP包下载,所以我们需先下载Adobe Reader 10.1.0的msi包,下载目录ftp://https://www.doczj.com/doc/6c176832.html,/pub/adobe/reader/win/10.x/10.1.0/zh_CN/,对于网内有中英文电脑的酒店,都可下载此中文安装包,只是英文客户端的电脑第一次打开Adobe Reader时会出现选择语言的提示,单语言安装包只有66.8M,而多语言安装包有140多M,安装单语言安装包将快得多。然后在目录 ftp://https://www.doczj.com/doc/6c176832.html,/pub/adobe/reader/win/10.x/10.1.4/misc/下载名为 AdbeRdrUpd1014.msp的MSP包。 4,下载Adobe Reader msi包的MST生成工具Adobe Customization Wizard X 官方下载地址:https://www.doczj.com/doc/6c176832.html,/support/downloads/detail.jsp?ftpID=4950。此MST 工具的目的是禁止分发后的Adobe Reader自动更新、关闭保护模式等,后面将详细介绍。 5,安装下载的MST生成工具 安装完后在工具栏中选择File --- Open Package,打开之前下载的Adobe Reader 10.1.0的msi包,请勿在msi包上单击右键选择Adobe Customization Wizard X用打开,这样打开将报错,弄得我还以为是电脑有问题。 6,生成MST文件 可参考如下文档 https://www.doczj.com/doc/6c176832.html,/content/dam/kb/en/837/cpsid_83709/attachments/Customization_ Wizard.pdf,接下来我将简单介绍几个实用的修改。
利用组策略来发布和指派软件 1、分发具备的条件: A、用户端必须是Windows 2000以上的版本 B、要加入域的计算机才受软件分发的影响 C、分发的软件的格式一定是*.msi 扩展:软件WinInstall可以将EXE的文件转换成MSI的 另外还有其它分发软件 2、分发的步骤: A、建立软件分发点即建一个共享文件夹将Msi的文件解压到共享文件夹中 B、建立组策略GPO(组策略容器) 注意:默认程序包位置要用UNC路径\\计算机名\a共享的文件夹名 C、发布软件方式有:发布和指派注意区别 1、指派方式有两种:指派给计算机和指派给用户; (1)指派给计算机:计算机启动时软件会自动安装在计算机里; 安装目录:Documents and setting\All User (2)指派给用户:不会自动安装软件本身 只安装软件相关部分信息,如快捷方式 何时会自动安装 1、开始运行此软件 2、利用“文件启动”功能(document activation) 2、发布方式:只有发布给用户,不能发布给计算机 1、软件不会自动安装 2、何时自动安装 “控制面板”>>“添加或删除程序”>>“添加新程序”D、客户端安装(注意:要有权限,是域的管理员可以安装,本地的管理员不行,或者设置策略来进行软件的安装) 下面就开始做实验:
1、打开域控制器,我就用callcenter.21cn.local来举例。如图:1-1 1-1 2、新建一个组织,命名为“callcneter”,如图:1-2 1-2
3、点击“callcenter”属性,然后点击“组策略”选项卡,点击“新建”>>,创建一个“组策略对象链接”命名为“deng”如图:1-3 1-3 4、点击“编辑”,如图:1-4 1-4
域网络构建教程(4)组策略 古人云:运筹帷幄之中,决胜千里之外。这大概就是用兵的最高境界了吧!作为一个生于和平年代的网络管理人员,这辈子带兵是没戏了。不过在域环境的帮助下,这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的 XP 系统上一直存在,通过在运行栏中输入 gpedit.msc 就可以启动本地计算机的组策略编辑器。截图如下: 马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器,所见即所得一直都是微软的看家本领啊。有了域环境之后,通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中,我感觉这种管理与控制几乎覆盖了使用中的方方面面,反正现在我只要在域控制器上动动手指头,就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的,有兴趣的可以在看完本文后自己实践一下(后果自负 哈)。
闲话少说,书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器,注意这里不能使用gpedit.msc(那是编辑本机策略的),而要打开“开始——程序——管理工具——Active Directory 用户和计算机”。 截图如下: 在打开的窗口中选择你的域名,并在其上右击选择属性,然后在弹出的属性对话框中选择组
策略。现在你就会看到默认域策略——Default Domain Policy,截图如下: 单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy,这样便于我们随时恢复到系统默认的设置。呵呵,留条出迷宫的路,是所有操作前的必修课。 默认的不让动,那我们怎么编辑组策略呢?答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机,注意组织单位将是一个我们经常使用的划分方式,组策略可以按层次模式很好的在其上运行,这样也便于对今后一定会日趋复杂的组策略进行有效的管理。注意这里我提到了层次模式,组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了,出了问题还便于排查错误。为了演示这种层次模式,我新建一个名为“用户和计算机”的组织单位,并将原来的两个组
软件分发功能简易说明 网络服务端五大功能区 控制及软件功能切换区 被控机管理员密码输入及被控机启动盘选择区 功能控制菜单区 主窗口 状态栏 控制及软件功能切换区 1.群组:用来选择需要控制的群组,最多可以控制80个群组。 2.电脑:用来选择群组中需要控制的计算机,一个网络服务端程序最多可以控 制一个群组中的80 台计算机。 3.电脑列表:列出所有收集到的安装Max-User 计算机相关信息及状态;包括 “群组”、“计算机名称”、“IP 地址”、“系统”、“模式”、“属性”和“网卡地址”。 4.档案传输:列出正在进行文件传输的计算机及状态。 5.网络唤醒排程:设定(新增、删除、修改)控制排程和设定(新增、删除、 修改)触发事件,主要用于在保护系统的系统保护。 6.帮助:提供电子版本的帮助文件。 7.关于:公司服务电话及Email。 8.离开:退出MaxControl控制软件操作界面。 输入被控端管理员密码输入及选择被控机启动盘
1.输入被控端管理员密码: 需要输入正确的密码才能对安装MaxUser的计算机进行控制,该密码与硬盘保护系统的密码一致。 2.选择被控机启动盘: 此处显示的操作系统为当前用户使用的操作系统的名称,同时可以通过选择不同的操作系统的名称配合功能控制菜单区中的功能选项进入不同的操作系统。 功能控制菜单 1.收集ID: 收集被控计算机ID,用于读取安装网络客户端程序的计算机状态,同时在主窗口界面中显示出来,用户可以根据主窗口的显示对该计算机进行相关的操作。若被控机处于硬盘保护启动菜单状态下,请选择按保护系统信息收集;若被控机已经进入Windows 操作系统状态下,请选择按操作系统信息收集。 2.网络唤醒: 将所选择的被控计算机通过网络唤醒。 需要将CMOS中的关于网络唤醒的选项打开,并确认被控计算机前次关机是从Windows 状态下进行正常 关机的。如遇以下情况被控机也将无法唤醒:公用电网停电、正常关机后单 机切断电源或机房统一切断电源。 3. 重启: 命令所选择的被控计算机进行重新启动的操作。 点击后将弹出如图所示的对话框: 此对话框将在您点击重启、关机、使用者模式、管理员模式、保留模式、备份、还原、指定启动盘、取消指定启动盘、维护排程、传递硬盘保护参数等按扭后弹出,由于以上功能均需要使被控端计算机重启或关机,因此该对话框可以根据您的需要使得被控计算机延迟相应的时间进行重启和关机以便使用者能及时保存重要信息,同时您可以在对话框中输入文字以提醒被控机的使用者。如果您选择“不显示信息”被控计算机会立即重启或关机。
AD域中如何布置软件自动分发 本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。您可以通过以下方法使用组策略分发计算机程序: ? 分配软件 您可以将程序分发分配到用户或计算机。如果将程序分配给一个用户,在该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时,安装过程最终完成。如果将程序分配给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时,安装过程最终完成。 ? 发布软件 您可以将一个程序分发发布给用户。当用户登录到计算机上时,发布的程序会显示在“添加或删除程序”对话框中,并且可以从这里安装。 注意:Windows Server 2003 组策略自动程序安装要求客户端计算机运行 Microsoft Windows 2000 或更高版本。 创建分发点 要发布或分配计算机程序,必须在发布服务器上创建一个分发点: 1. 以管理员身份登录到服务器计算机。 2. 创建一个共享网络文件夹,将您要分发的 Microsoft Windows 安装程序包(.msi 文件)放入此文件夹。 3. 对该共享设置权限以允许访问此分发程序包。 4. 将该程序包复制或安装到分发点。例如,要分发 Microsoft Office XP,请运行管理员安装(setup.exe /a) 以将文件复制到分发点。 创建组策略对象 要创建一个用以分发软件程序包的组策略对象 (GPO),请执行以下操作: 1. 启动“Active Directory 用户和计算机”管理单元,方法是:单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。 2. 在控制台树中,右键单击您的域,然后单击“属性”。 3. 单击“组策略”选项卡,然后单击“新建”。 4. 为此新策略键入名称(例如,Office XP 分发),然后按 Enter。
用组策略部署软件,省心又省力! 责任编辑:李鹏作者:姜磊福 2006-06-20 【IT168 专稿】作为一名网管员,你是否经常会被一些软件安装的问题所困扰呢?比如说在网络环境下安装软件!面对网络环境下数量众多,需求各异的用户,硬件配置不同,用途也不同的计算机,几乎每天都有各种各样关于软件安装的需求,对于此你是否感到疲于奔命,无所适从呢?Windows 2000中的组策略 软件部署就可以帮我们解决这个困扰,让这些令人烦恼的事情变的轻松起来,使我们广大的网管员朋友彻底的摆脱软件部署的烦恼,省心又省力! 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的 \VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可 以在https://www.doczj.com/doc/6c176832.html,/下载获得。 图1(点击看大图) 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI 包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使
使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置; 统一配置可以通过域策略中自带的防火墙模板来设置,也可以通过使用bat脚本来配置,下面即分别演示配置方法; 1 域组策略统一配置防火墙 使用域管理员登录域控制器,打开“管理工具>组策略管理”; 在目标组织单位右击,新建GPO; 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO,选择编辑GPO,选择“计算机配置>策略>Windows设置>安全设置>系统服务”;
选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务,并禁用该俩项服务; 结果如下; 1.1.2 查看客户端结果 重启XP客户端查看结果
重启Win7客户端查看结果 1.2 开放客户端防火墙端口 (注:首先将上面组策略中的系统服务设置还原在进行下一步的配置) 1.2.1 域策略配置 右击目标GPO选择编辑,选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”,下面的子集即为客户端防火墙配置项目,此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集,其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用;
组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃,包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM),它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。
域环境通过组策略分发软件给客户端
域环境通过组策略分发软件给客户端 通常情况下,我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦)。通过在组策略的“计算机配置”中的“软件安装中,点击右键,如何选择程序包,通过UNC路径(注意了哦:这个是网络路径,所以,管理员必须把此软件共享出去)找到程序位置。如何,选择"已指派"就可以了。当然,在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有?在发布好软件后,选择软件里面的属性,查看“部署”,可以看见“指派”与“发行”两个选项(计算机配置中,发行为灰色)。所以,这里有就有三种软件部署的方法了: 1、发行给用户 2、指派给用户 3、指派给计算机 下面,来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时,软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式,用户再任何一台电脑登陆域,都可以在开始菜单与桌面上看到软件的快捷方式。同时,计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时,计算机就会自动下载安装次软件。但与发行给用户不同的是,用户可以删除此软件,但是,下次登陆时,它还是会出现,意思是说,它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式,用户不用手动执行,计算机会在启动时,自动下载并安装此软件。用户不能删除此软件,只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员
Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境,实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.
2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC(组策略容器)与GPT(组策略模板) GPC:GPC是包含GPO属性和版本信息的活动目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控(DC)基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位(OU)...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位:(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象(dsmod)............................... 6、其他命令(dsquery、dsmove、dsrm)....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................
需要注意的是已发布的方法只能部署到用户,不能部署到计算机上,也就是说只有组策略中的用户配置可以使用这种部署方法。已发布软件部署方法可以保证: 1、当用户登录计算机时,软件并不会自动安装,只有当用户双击与应用程序关联的文件时,软件才会自动安装。如我们双击一个ppt 文档或doc文档时,会自动安装OFFICE。 2、对于发布的软件,用户可以在控制面板中的“添加/删除”中安装或者删除,也就是说用户自己可以安装,也可以卸载。 这种部署方法的好处在于,对于一些不能确定使用用户的软件,可以以发布方法部署,是否安装由用户自己决定。 配置方法如下: 1、右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件,然后单击“打开”。 2、在选择部署方法中,选定“已发布”。
已指派的方法可以将软件部署给用户和计算机,也就是说组策略中的用户策略与计算机策略都可以使用这种部署方法。这一点需要与发行方法区别开。 当我们使用此方法将软件指派给用户时可以保证: 1、软件对用户总是可用的,不管用户从哪一台计算机登陆,软件都将会在开始菜单或桌面上出现,但这时软件并没有被安装,只有在用户双击应用程序图标或与应用程序关联的文件时,软件才会被安装。 2、如果用户删除了安装的软件,哪么当用户下次登录时软件还会出现在开始菜单或是桌面上,并在用户双击关联文件时被激活安装。 这种部署的好处在于,对于一些不常用的,但某些人却必须要使用的软件我们没有必要在每台计算机都安装,只要指派给需要的用户,不管这个用户在哪台计算机上操作,都能保证要使用的软件是可用的。 方法如下: 1、右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件,然后单击“打开”。 2、在选择部署方法中,选定“已指派”。 当我们使用此方法将软件指派给用户时可以保证: 1、对于被指派的计算机,软件总是可用的,无论哪个用户登录都可以使用被指派的软件。 2、软件不会通过文件关联安装,而是在计算机启动时被安装。 3、用户不能删除被指派安装的软件,只有管理员才可以。 这种部署方法的好处在于,可以将一些大家都要用到的软件指派给计算机,被指派安装在计算机上的软件对于所有用户都是可用的。 配置方法如指派给用户的步骤,只是将“用户配置”改为“计算机配置”即可。 三、改变部署的软件包选项 在用组策略部署一个软件后,可以修改待部署的软件包的选项以适应我们的需要: 1、点击软件安装,在右边找到待部署的软件包,点击右键选择属性,在出现的对话框中选择部署,如图。
xx集团域管理实施方案1 xx集团域解 决方案 制定人:xx 2014-7-22 1概述 1.1 背景介绍 随着xx集团的壮大,现有的管理模式已经无法满足IT管理的需求,根据目前的IT现状,利用域管理可以实现资源集中化以及管理分散化,提高管理人员的工作效率,并且有效整合公司资源。 1.2 现状描述 目前xx集团共有计算机六百多台,企业内部的网络环境依然使用的是工作组模式,这种管理模式较为松散,且每个个体之间都是独立存在的,网络环境中的软硬件资源都无法实现充分利用。从IT管理人员方面考虑,整合IT资源,将原有的松散的工作组模式更改为集中管理的域模式,可以减轻日常维护管理的负担,提升IT生产力。对于终端用户来说,实现域管理方式以后,可以实现单一的身份验证,用户不需要记太多的账号,密码,一个账号就可以访问公司所有的资源。 1.3 问题分析 根据xx现有的网络环境,主要有如下几个问题需要在实施域管理之前解决
(目前想到的就这么多,后期讨论过以后可能还有): 1.前期松散的网络环境太过于庞大,用户数据都是存在自己电脑上的,数据这一块是否需要增加文件服务器,文件服务器可以根据账号开权限,以此来最大限度的保证数据的安全性。(我司目前还没有文件服务器,不过我正在考虑是否需要增加) 2. 创建域环境以后,繁琐的账号是否需要整合?如果不整合,相当于用户又需要记住一个账号密码,太多的账号密码,对于用户体验来说也不好!目前我司这边,上网账号和电脑账号是整合的,只需要一个账号密码即可。毕竟现在所有主流系统都是可以和域联接,直接使用域账号来分权什么的。。庞大的账号集管理也方便,最大限度的体现域的好处! 3. 用户现在使用的是工作组模式,将来开始实施域的时候,加域的工作以及用户配置文件转移的工作怎么来进行需要考虑清楚。我司这边我是写的操作手册发给用户,然后让用户自行加域以及转移配置文件。如果考虑到用户的技术水平有限,也可以写批处理文件,让批处理来解决。或者让各部门文员负责这件事情。(不建议用批处理) 4. 域实施之前,要考虑给用户什么权限,目前IT行业中,大中型企业主流的权限分配是给普通用户Power user 的权限,此权限的好处在于拥有大部分的本机管理权限,但是却又有限制,在文件安装方面,只能安装经过windows验证的程序,其实说白了就是用户没有安装文件的权限。虽然看上去繁琐了,但是也一定限度的预防病毒,还有防止用户装一些乱七八糟的软件,尽最大可能保证电脑的标准化。 5. 域用户的权限考虑好以后,需要合理规划OU,需要划定哪些OU,这部分非常重要,OU规划的好,在今后的权限分配方面就会轻松很多。譬如文件服务器,上网权限等。
组策略应用之域环境内的统一发放补丁 这是平常应用中的一个小案例,说出来和大家分享一下,现在很多公司都是用MS的产品,而且都是用域来管理,大家都知道AD的好处就是能统一资源管理,而在AD中起到关键作用的就是“组策略”。 说说本人在日常管理中的应用小窍门,说白了也不是什么小窍门,只是按规章办事就好而已,做足了这些工作之后就能做个轻松的管理员,可以减少很多病毒的困扰和很多麻烦琐事。那就是 1:对所有电脑统一发放最新系统更新补丁,很多病毒蠕虫都是趁着这个来的了2:及时更新杀毒软件病毒库 3:给员工适合的权限也能大大减少中病毒木马的几率,例如一个只有USER权限的员工,中了木马后没有安装的权限所以木马就运行不起来,给相应的权限很重要把,呵呵…这些做足了,很多病毒木马想找你都没门了。 好了越扯越远了,接下来就来说说AD环境中统一发放补丁的一个组策略应用把,想要统一发放补丁就必须先搭建一个WSUS服务器,MS免费的哦,难得啊还不好好利用,怎么搭建和应用这里就不讲了,大家百度谷歌吧,当我们搭建好了WSUS服务器之后就开始我们的组策略之旅了。 这里我更新域里面的所有计算机 新建策略“UPDATE”
小名取好之后就“编辑”吧
打开组策略后依次展开计算机配置>Windows组件>Windows Update
看到右边的配置自动更新了吗?
我们启动它,配置如图,更新计划和时间可以根据自身的情况去定
我们再来配置“指定Internet Microsoft更新服务位置”也就只填进你WSUS服务器的URL路径,指定了端口的还要把端口也加上去
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
在需要给大量客户端部署软件时,使用组策略的软件分发功能还是很有效率的。比如前面文章中谈到的部署limitlogin工具,需要在客户端安装电脑上安装软件的客户端,如果手动安装需要耗费很多时间,效率也很低。如果使用组策略则可以一步到位,一次性全部部署,而且不会影响到用户的日常工作。下面我们就来详细介绍一下使用组策略进行软件分发的过程:Windows主要有两种安装程序包,一种是扩展名为.exe的安装程序;另一种是扩展名为.msi 的安装程序。对于.msi的安装程序,组策略可以直接发布。对于.exe的安装程序,则需要转换为.msi安装程序或创建一个与其对应的扩展名为.zap的文本文件。注意:.zap包只能发布,不能指派;而.msi程序即可以发布,也可以指派。发布和指派的区别如下: 1)发布的软件,只能通过“添加/删除程序”中的“添加新程序”中添加,不能自动安装在用户的计算机中。 2)指派的软件,在用户登录的时候,系统会自动安装,不需要用户添加。不过,指派的软件也可以在“添加/删除程序”中添加和删除。 3)发布的软件,用户可以根据需要添加或删除,而指派的软件,如果用户删除,当用户下次登录时,系统还是会自动安装。 要分发软件,首先需要在服务器上建一个共享文件夹,用于存放需要分发的软件,如下图:
下面我们来看看软件分发的步骤: 1. 发布MSI格式的软件 1)首先在需要分发软件的OU上建一个策略,如下图:
2)在“组策略编辑器”窗口,选择“User Configuration—Software Settings—Software installation”,在右面板上,点右键,选择New—Package,如下图:
组策略处理和优先级 此主题尚未评级- 评价此主题 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第 3 步和第8 步。 组策略设置是按下列顺序进行处理的: 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策 略处理,都会处理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在 组策略管理控制台(GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选 项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理,然后 是链接到其子组织单位的GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 在Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接GPO。 如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 该顺序意味着首先会处理本地GPO,最后处理链接到计算机或用户直接所属的组织单位的GPO,它会覆盖以前GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。) 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响:
如何在域管理环境中进行软件的推送安装 1,要把你准备分发的软件制作成.msi软件安装包. 在Windows2000安装光盘运行x:\Valueadd\3rdparty\Mgmt\Winstle\Swiadmle.msi安装制作.msi软件包所需要的工具VERITAS discover. 运行"VERITAS discover"就可以开始制作.msi软件包了,制作.msi文件的基本原理就是,在给系统安装一个软件之前,先给系统的磁盘拍个"快照",记录下来当前存在的文件.然后将需要制作成.msi软件包的软件安装到系统中,然后再给系统的磁盘拍个"快照".Discover软件会自动对比两次"快照",找出两次"快照"的不同,生成一个.msi文件. 2,在服务器上创建一个共享文件夹,建议设置成只读属性,并且保证所有用户都可以访问它.然后把你制作好的.msi软件包放到这个共享目录中. 3,进行组策略设置进行软件的分发. 登陆域控制器打开"组策略编辑器",在"用户配置"或者"计算机配置"里面选择"软件设置",添加你要分发的软件,可以选择"指派"或者"发布".这样,当客户机下次登陆的时候,就会自动运行安装你所要分发的软件或者发布到目标机由用户选择安装. 发布和指派的区别:发布是指可以将一个程序分发发布给用户.当用户登录到计算机上时,发布的程序就显示在添加/删除程序对话框中,并且可以从这里安装.指派是指可以将程序分发指派到用户或计算机.如果将程序指派给一个用户,在该用户登录到计算机时就会自动安装此程序.在该用户第一次运行此程序时,安装过程最终完成.如果将程序指派给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它.在某一用户第一次运行此程序时,安装过程最终完成. 域环境下的软件发布和指派 标签:生活2010-11-06 01:18 星期六 软件的发布和指派 在域环境下,可以将为用户和计算机分配各种软件,那么在用户登录的时候可以自行添加和删除软件{在控制面板中---添加删除程序},这种方式称之为软件的发布;它是只针对用户生效。那么发布软件的格式是.exe和.msi。还有另外一种既可以对用户生效也可以对计