windows 2000/xp网络组建与系统管理

Windows 2000/XP 网络组建与系统管理

李燕李燕中南分校

第九章用户操作环境管理

本章主要介绍：用户配置文件的基本概念用户配置文件的三种类型和配置方法登录脚本和主目录的基本概念组策略的定义基于组策略的管理

用户操作环境管理

用户的工作环境包含桌面上所出现的项目与设置，例如 : 屏幕的颜色、鼠标的设置、窗口的大小与位置、网络驱动器与网络打印机的连接以及应用程序的设置等。

在 Windows 2000 的网络上，可以通过以下的工具来管理用户的工作环境：

用户配置文件、登录脚本、主目录、组策略、环境变量、磁盘配额

用户配置文件

用户配置文件概念用户配置文件是包含着用户所有自行设置的工作环境，

存储用户桌面设置、应用程序设置以及用户个人资料和与登录相关的其他信息。

它会由 Windows 2000 在用户第一次登录时创建。例如：只要使用系统中建立的一个帐户登陆系统一次，

就会在系统根目录的 Documents and Settings文件夹的下面会生成一个以这个帐户为文件夹名字的文件夹。

用户配置文件示意图

以 administrator 为例，如图所示：

用户配置文件：内容

应用程序数据：程序的专用数据。这部分内容是由程序供应商决定在用户配置文件中存储那些；

Cookie ：用户信息和首选项桌面：桌面上面的各个项目，包括文件、快捷方式和文

件夹 Favorites （收藏夹）：到 Internet上经常访问网

页的位置的快捷方式。 Local Settings ：应用程序数据、历史和临时文件。

用户配置文件：内容

我的文档：用户文档和子文件夹 My Recent Documents ：指向最近使用过的文

档和访问过的文件夹的快捷方式。 Sent To ：指向文档处理实用程序的快捷方式。【开始】菜单：指向程序项的快捷方式。 Templates ：用户模板项目。 NetHood ：指向【网上邻居】项的快捷方式。 PrintHood ：指向打印机文件夹项的快捷方式。

用户配置文件

作为网络的策划者，在具体实施的时候既可以在不同的计算机上创建不同的用户配置文件以求得到不同的工作环境，也可以全部都使用同样的用户配置文件以获得相同的工作环境。

使用用户配置文件有以下几个特点：

1 ）用户在每次登录到计算机时，有默认的或预先设置的工作环境与界面。

用户配置文件

2 ）多个用户在使用同一台计算机时，每个用户都可以有他个人的工作环境设置，互不干扰；

3 ）用户登录到工作站时，其桌面设置与他注销离开时的设置保持一致。

4 ）用户配置文件可以存储在服务器上，当用户登录到运行 Windows 2000的计算机上时，该用户配置文件同样有效。

用户配置文件的结构

删除：将选中的配置文件从本机中删除。

更改类型：将用户配置文件设置为“本地配置文件”或“漫游配置文件”两种类型之一。

复制到：将一个用户的配置文件复制成另外一个用户的配置文件。

请注意，在 Windows XP/2003 环境下，用户配置文件的设置和 Windows 2000 并不相同。

演示如下：

用户配置文件的类型

用户配置文件的三种类型本地配置文件

第一次登录到计算机时，将创建本地用户配置文件，并保存在计算机的本地硬盘上。

漫游用户配置文件

漫游用户配置文件由系统管理员创建，并保存在服务器上。每次登录到网络上的任何一台计算机时，都可以使用该配置文件。

用户配置文件的类型

强制用户配置文件

强制用户配置文件也是漫游配置文件，只是它是只读的。用来为个人或整个用户组指定特殊的设置。

只有系统管理员才能更改强制用户配置文件。

每次登录时，都使用固定的配置。当注销用户时，系统不保存用户所做的任何改变。当用户再次登录时，配置文件仍然和上次登录时一样。

用户配置文件的内容来源

在 Windows 2000 中，有两套相互独立的结构联合构成了用户的工作环境，它们分别是 %SystemRoot%\Documents and Settings 目录下的“ All Users”（所有用户）目录和“ Default User”（默认用户）目录。

当用户第一次登录计算机时，通过对以上两种规范的结合，为该用户创建一个配置文件。尽管不同用户的配置文件会不相同，但所有用户在首次登录时，其配置文件是相同的


All Users 目录 “All Users” 目录也可称为“所有用户”配置文件，

它包含了通用程序组和桌面快捷方式。


通用程序组内的程序可供所有登录这台计算机的用户使用，也就是无论哪个用户登录时，其屏幕上都会有此程序组。

通用程序组的作用是为工作站上的所有用户提供通用的访问特性。

前提：每个用户必须具有使用这个应用程序的权限。

用户配置文件的内容

Default User 目录为某一个用户提供默认的访问特性，因此，它要

比“ All Users” 目录包含更多的内容。

设置漫游配置文件

建立一个空的漫游配置文件


在上述步骤完成后，当用户登录时，就会自动在该路径建立一个空的漫游配置文件。当用户注销时，其所做的任何修改都会保存到此漫游配置文件中。以后，该用户就以此配置文件作为工作配置。

注意： 1 、如果用户使用漫游配置文件，在用户注销时，用

户本地配置文件既保存在本地计算机上，又保存在用户配置文件路径中。


2 、使用了漫游用户配置文件，无论用户在何处登录，只要服务器可用，就可以使用这个配置文件。

3 、如果服务器不可用，系统将使用漫游用户配置文件在本地计算机上的缓存副本。如果用户以前没有在这台计算机上登录过，系统将创建新的本地用户配置文件。

到用户的工作站上利用administrator登录

建立一个预先设置好的漫游配置文件

用 liping 帐号登录注销后以 zhanghua 帐户登录，其工作环境与以liping 帐户登录的工作环境相同。


创建强制用户配置文件如果用户是使用服务器上的强制配置文件登录，在登

录后仍然可以修改其工作环境，不过，这些修改不会被保存到服务器上去，而只能保存在本地计算机上的本地配置文件中。

即 : 下次再使用服务器上的强制配置文件登录时使用的仍然是原来未修改的强制配置文件的设置，只有使用本地机上的本地配置文件登录，才能使用新的设置。


创建强制配置文件方法：

将用户配置文件复制到服务器上，然后将这个用户配置文件中的 NtUser 的后缀 .dat 改为 .man

，这个用户配置文件就变成了强制配置文件。

定制默认用户配置文件

自定义单一计算机的默认用户配置文件

登录脚本

登录脚本 (Logon Script) 就是当用户登录时计算机自动执行的程序，它可以是扩展文件名为 .BAT

或 .CMD 的批处理文件，或是 .EXE 的可执行文件。登录脚本可以被看作网络上的 AUTOEXEC.BAT 文件。

登录脚本的作用使用登录脚本可以设置单个用户的环境，也可以对多

个用户的环境进行统一化。可以将单个登录脚本赋给所有用户，或者给每个用户配置不同的登录脚本，也可以混合使用这两种策略。

登录脚本

使用登录脚本可以完成以下任务：(1) 用户登录到工作站时使用登录脚本可以自动运行

MS-DOS的批处理文件、内部命令和可执行文件。

(2) 实现主目录（用户保存私有文件的目录）。

(3) 将在服务器上的用户账号中定义的参数拷贝到用户计算机的 MS-DOS环境变量中，这些变量可以由登录脚本和可以使用这些变量的应用程序所使用。

登录脚本

登录脚本的执行用户登录时，系统从验证用户登录请求的计算机

的保存登录脚本的目录中下载该脚本并执行之。

验证用户登录请求的计算机通常是响应用户登录请求的第一个域控制器，要确保域内所有用户账号的登录脚本都能正常工作，系统管理员必须保证所有登录脚本与域内的每一个服务器保持同步。

登录脚本的设置用户登录时，如果用户账

号中存在登录脚本路径，且存在此脚本文件，则系统运行该脚本，如果在“登录脚本”文本框中只输入文件名而无路径，则默认的路径为“ %SystemRoot%\

SCRIPTS”

登录脚本

主目录

主目录是用户的私人目录，用于保存用户私人的文件，这是在 My Documents 之外建立的另一个存储个人文档的目录。

主目录的存储位置主目录的存储位置可以是在客户计算机的硬盘中，

也可以是在 Windows2000 Server 的硬盘中，还可以是在主域控制器的硬盘中。但是，这个目录最好创建在服务器上，使得用户的文件能够在服务器上方便地进行备份。

主目录

可以把所有的主目录存储在一个文件服务器上。

这样做的好处：

1 ）可以让在网络的任何客户机上使用同一主目录。

2 ）文档的备份和管理工作集中化。

3 ）运行任何 Microsoft操作系统的客户计算机上都可以使用主目录。

主目录

创建主目录1. 在服务器上创建一个目录，并设置为共享。

2. 设置共享目录的许可权限，使用户可以访问此目录。

3. 单击“开始”→“程序”→“管理工具”→“ Active directory用户和计算机”，出现管理窗口。

4. 双击要为之设置主目录的用户名，系统显示出此用户属性的对话框。

5 、单击“确定”按钮，设置完毕。

6 、单击“配置文件”卡，在主目录的编辑框中选中“连接(C)”单选按钮，并输入服务器及主目录路径。

主目录

主目录

在 “我的文档”中，每一个用户都有一个专用的文件夹，这是在创建用户时建立的。用户可以改变它的位置。

使用组策略管理用户环境

什么是组策略？组策略是一种在用户或计算机集合上强制使用一些配

置的设置方法。

组策略设置定义了系统管理员需要管理的用户桌面环境的多种组件。

例如 :

用户登录后使用的程序，用户桌面上出现的程序快捷方式，以及“开始”菜单中的内容等。使用组策略单元，可以为特定的用户创建特定的桌面配置。


组策略的内容用户配置：包含有影响用户环境的相关设置。计算机配置：包含有网络中计算机的相关设定参数。


注意：组策略和用户配置文件的区别：

用户配置文件：用来进行用户环境设置的，它允许用户自己进行更改，如桌面设置、我的文档和收藏夹等。

组策略：由系统管理员管理和维护的，系统管理员按照组策略管理工具来对用户和计算机设置策略。


Windows NT 4.0 与 Windows 2000 的策略比较

在 Windows NT 4.0 中，微软公司引入了系统策略编辑器工具。该工具允许网络管理员设定存储在Windows NT 注册表中的用户和计算机设置。

系统策略设置其实就是注册表的设置，用来定义桌面环境中不同组件的功能。在 Windows 2000中，可以通过使用组策略管理工具为特定的用户和计算机创建特定的桌面配置。


Windows NT 4.0 系统策略的局限性策略文件为二进制文件，篇幅大，限制了可使用策略的

范围。当策略已在服务器上删除后，仍然会有一些信息残留在

系统策略中，想要除去这些信息通常很困难。系统策略仅可更新注册表。系统策略仅可在一个文件内发布，使得管理员不能为特殊的用户群体建立专用策略。

组策略概述

组策略是为用户提供一种本地机和网络的运行环境，是用于定义用户享有使用各种权限的一种集合。

组策略概述

组策略通常是系统管理员为加强整个域或网络共同的策略而设置的，它会影响到用户账户、组、计算机和组织单元。

组策略根据所影响的配置可分为以下几种策略类别：

(1) 磁盘配额策略

(2) 加密文件系统恢复策略

(3) 安全策略

组策略概述

(4) 用户和计算机策略 ( 注册表更新 )

(5) 文件夹重定向策略

(6) 登录 / 注销脚本

(7) 软件安装

此外，组策略设置还定义了系统管理员需要管理的用户桌面环境的多种组件。掌握好组策略对于网络管理和维护意义重大。

下面仅举两例来实证一下。

实例一使用组策略禁止客户机上的应用程序

http://www.winmag.com.cn/forum/imgdisp.asp?src=showimg.asp?ID=11767






实例二

和未使用过组策略的客户机上进行比较。

使用组策略禁止客户机改变 TCP/IP 设置

用户和计算机组策略的功能描述

组策略的存储

用户和计算机组策略由在登录时发布至域的客户端注册表更新组成。这些更新存储在名为REGISTRY.POL 的文件中。

每个策略包含两个 REGISTRY.POL文件，一个用于存放用户配置设置，另一个用于存放计算机配置设置。


组策略对象的内容

⑴ 应用程序配置组策略：

分配和发布用户能够访问的应用程序。


⑵ 文件配置组策略：组策略管理员把文件放置在客户机的特殊文件夹中，如“开始”菜单或桌面上。

⑶ 脚本组策略：在特定时间执行脚本或批处理文件的设置，如桌面外观、应用程序设置。

⑷ 安全组策略：设置用户对文件夹和文件的使用及控制用户权限，即建立本地计算机、域及网络安全设置。

组策略对象

组策略是配置的集合，这些设置包含在组策略对象(GPO ， Group Policy Object) 内。

组策略对象在两个位置存储组策略信息：组策略容器(GPC ， Group Policy Container) 和组策略模板 (GPT

， Group Policy Templete) 。其中： ①组策略容器存储 AD中，并提供版本信息。 ②组策略模板存储在域控制器的 SYSVOL文件夹中。

组策略对象

组策略对象（ GPO ）简介组策略对象（ GPO ）是设置组策略的基础。在设置组策略之前，必须创建一个或多个组策略对

象，然后通过组策略编辑器（ Group Policy

Editor）设置所创建的组策略对象。在 Windows 2000中，用户首先创建一个 GPO，

然后对这个 GPO进行配置。由于每个 GPO包含的都是设置的集合，用户可以为每一个 GPO指定不同的配置，使此 GPO只影响所指定的计算机和用户。

组策略容器和组策略模板

组策略容器（ GPC ， Group Policy Container ） GPC 是包含组策略对象属性和版本信息的活动目录

对象。由于 GPC 在活动目录中，所以计算机能够访问它来查找组策略模板，域控制器能够访问它来获取版本信息。

一个域控制器使用版本信息来识别它是否有最新版本的组策略对象。如果域控制器没有最新版本，就会从拥有最新版本组策略的域控制器上进行复制。


每一个 GPC

都是由一个复杂的字符串命名的，它使用与其他的 GPC 不同的全局唯一标记（ GUID ）。


组策略模板（ GPT ）

GPT 存在于域控制器的共享系统卷标文件夹里，是一个文件夹的层次结构。

当创建一个 GPO的时候， Windows 2000相应地创建 GPT文件夹的层次结构。 GPT包含有所有的组策略信息。

GPT文件夹的名称是创建的 GPO 的 GUID，它和GPC中用来标识 GPO 的 GUID是一样的。


策略的层次策略能被连接到影响同一客户端的各种容器当中。

当一个客户端从不同的容器来源下载策略设置时，它将把每个策略类型（用户和计算机）的设置合并。

当用户或计算机从一个以上的来源下载策略时，系统将按照层次来排序，并有序地加以应用。


下面是基于策略的注册表更新的来源和它们的层次：

·传统 NT 系统策略在 Windows 2000网络中，允许存在 Windows NT

的域控制器。为了向下兼容， Windows 2000客户端会检查域控制器的 NETLOGON共享中是否存在NTCONFIG.POL文件。这些系统策略会对本地注册表造成持久的影响。因此，必要时可以仅用这个检查操作。


·本地本地 Windows 2000计算机拥有一组本地的用户和

计算机策略。

·站点站点是根据 WAN结构和网络分布的地理位置而设置的

，与网络的逻辑结构无关，因此组策略与站点的关联可能会比较复杂，因为他有超越边界的潜在可能。站点策略最好是用来发布只有本地网络才拥有的网络配置。


·域

域策略被应用于域中的每一个用户和计算机，而不考虑站点位置，一个企业中的各个部门是使用域策略还是使用 OU策略要看企业的管理是采用集中管理还是分散管理。


·OU

与 OU 相关联的组策略拥有最高的优先权。这给了本地管理者更多的控制本地桌面的权力。

默认情况下，这些策略一致时，后应用的策略将覆盖以前应用的策略。但是，如果这些设置不一致，前后的策略都将作为有效策略。

管理模板

组策略管理模板是基于注册表的用来管理用户环境的设置。

管理模板设置分成七种类型，都是有关用户和计算机的设置。

其中，“计算机配置”主要集中于 Windows 2000

的管理，而“用户配置”主要集中于控制用户如何才能影响桌面环境。

① Windows组件：可以应用于计算机和用户对象。

管理模板

包括用户可以访问的 Windows 2000及其工具和组件、控制用户对 MMC的访问。

② 系统：可以应用于计算机和用户对象。包含登录和注销过程，利用系统设置还可以管理组策略、更新时区和启用磁盘配额。

③ 网络：可以应用于计算机和用户对象。包含网络连接和拨号连接的属性，可以控制网络访问能力。

④ 打印机：可以应用于计算机对象。对打印机设置，可以自动公布在活动目录中。

管理模板

⑤ 工具栏和开始菜单：可以应用于用户对象。包含用户可以从“开始”菜单中访问的组件。

⑥ 桌面：可以应用于用户对象。通过隐藏某些桌面图标并控制用户对“我的文档”文件夹的使用，可以控制用户对网络的访问。

⑦ 控制面板：可以应用于用户对象。包含控制面板上的一些应用程序。

管理模板

使用组策略

活动目录中的组策略继承创建 GPO 后，用户要把它与选定的活动目录容器 (站点、域或 OU) 关联。

GPO 中的设置影响容器及所有子容器中的计算机和用户账号。

用户可以把多个活动目录容器与同一个 GPO 关联，或者把多个 GPO 与同一个活动目录容器相关联。

使用组策略

⑴ 继承顺序组策略默认的继承顺序是站点、域，然后才是 OU

。依照这个顺序， OU 的 GPO是最终的 Windows

2000要作用于计算机或用户的组策略设置。

这个默认顺序允许最靠近底层计算机或用户的活动目录容器中的组策略设置覆盖在活动目录中高层的容器中与之冲突的组策略。

使用组策略

通常子 OU 中的对象会自动继承父 OU 的组策略设置。然而，一个组策略设置可能同时在父 OU 和子 OU

中进行了配置。在这种情况下，组策略设置的相容性决定了最后配置的结果。

1 、父 OU和子 OU同时配置了组策略设置，并且设置相容时，两个 OU的设置都起作用。

2 、父 OU和子 OU同时配置了组策略设置，并且设置不相容时，则子 OU就不继承父 OU中的这个设置，即保留自己的组策略设置。

使用组策略

⑵ 修改继承如果默认的继承顺序不能满足需求，用户可以修改

指定的 GPO 的继承规则。 Windows 2000 提供了两种改变默认顺序的选项：

· 禁止覆盖 (No Override)

使用此该选项禁止子容器覆盖（重载）在高层设置的 GPO。当多个 GPO被设置为“禁止重载”时，在活动目录层次上最高等级的有“禁止重载”选项的 GPO优先。

使用组策略

·阻止策略继承 (Block Inheritance)

特定 OU的本地管理员可以阻止从目录中站点、域或者父 OU中继承策略，也可以降低其优先级。使用这个选项，禁止一个子容器从父容器继承策略。

当一个 OU要求唯一的组策略设置时，此选项是有用的。“阻止策略继承”选项适用于所有父容器的 GPO

。

在冲突的情况下，“禁止重载”选项要优先于“阻止策略继承”选项。

使用组策略

⑶ 组策略和站点链接到一个站点的 GPO影响该站点中的所有计算

机，而不管该计算机属于哪个域。

但是， GPO只存储在一个域中。因为一个站点可能包含多个域，所有该站点中的计算机必须与包含该GPO的域的域控制器打交道。

因此当用户创建一个站点的 GPO时需要考虑网络流量问题。

使用组策略

组策略的处理顺序用户必须清楚组策略设置处理的顺序，以便不会错误地重载某个设置。

Windows 2000应用组策略中的“计算机设置”启动计算机、运行启动脚本；应用组策略中的“用户设置”控制用户登录、运行登录脚本。

客户机上的组策略每 90分钟、域控制器上的每 5分钟刷新一次。

使用组策略

组策略设置按如下顺序进行处理： ⑴启动计算机 ① “计算机设置”的各组策略设置生效。缺省情况

下是同步的。

② 在缺省情况下，各启动脚本同步运行。这意味着每个脚本在下一项开始前必须完成，否则超时。

③ 在显示用户登录的屏幕之前，对影响计算机账号的所有 GPO进行处理。

使用组策略

⑵ 用户登录 ① 对“用户设置”的组策略设置进行处理。

② 运行登录脚本。默认情况下，登录脚本异步运行。若有与用户账号有关的脚本，则它们最后运行。

使用组策略

创建组策略对象

使用组策略

管理 GPO权限创建 GPO 时，设置了如下的默认权限： Authenticated Users 组享有“读”和“应用组策

略”的权限。系统账号、 Domain Admin 和 Enterprise

Admins 组享有“读”、“写 (Write)”、“创建所有子对象”和“删除所有子对象”的权限。

使用组策略

使用组策略

⑴ 过滤组策略对象的作用域

GPO 中的组策略设置只影响那些拥有“应用组策略”和“读”权限的计算机和用户。

使用组策略

⑵ 委派控制权限 Domain Admins 组成员可以使用权限来标识哪

个管理员组可以修改 GPO 中的策略。为了实现这个目标，网络管理员创建管理员组，然后对这些组中选定的 GPO进行“读”和“写”授权。这就允许Domain Admins 组成员委派 GPO 的控制。具有对一个 GPO 的 “读”和“写”权限的管理员可以控制该 GPO 的所有方面的操作。

使用组策略

修改继承选项 ⑴ 设置“禁止重载

”以防止其他 GPO

重载该 GPO 所设置的组策略。

使用组策略

⑵ 改变多个 GPO 的处理顺序。 “ 组策略”选项卡上列出了链接到该站点、域或 OU

上的所有 GPO 。

这些 GPO 的处理按照卡上所列出的从下向上的顺序进行。

若在同一站点、域或 OU 的不同 GPO 中有冲突的组策略设置，在列表上高处位置的 GPO 中包含的组策略设置重载其他低位置处的 GPO 中包含的组策略设置。

要改变这个顺序，选中列表中的 GPO ，然后单击“向上”和“向下”在列表中移动 GPO 。

使用组策略

使用组策略

⑶ 此处以假设的名为“技术部”的 OU 为例，在图中的“组策略”选项卡上，选中 “阻止策略继承”，以防止父容器的 GPO 被应用到指定的子容器中。

禁用组策略对象

使用组策略

删除组策略对象

使用组策略编辑器

组策略编辑器概述用户可以以两种方式打开组策略编辑器：

· 在某个站点、域或 OU的“属性”对话框中的“组策略”选项卡上，在组策略中选择想要查看的 GPO，然后单击“编辑”按钮。

· 添加组策略管理单元和所有需要的扩展到 MMC控制台，然后选择想要进行配置的 GPO。


修改“管理模板”设置


登录脚本的管理和修改脚本设置1. 什么是组策略脚本？网络管理员可以利用组策略中的脚本功能来运行批

处理文件、可执行程序和支持脚本的 Windows脚本主机。如果网络管理员需要实现某些管理功能，但是现存的组策略设置选项不能实现时，那么管理员可以建立一个脚本来完成这些任务，然后通过组策略自动运行脚本。


组策略脚本设置可以集中存储脚本文件，在计算机启动、关闭、用户登录和退出的时候自动运行。可以指定在 Windows 2000 上运行任何脚本，包括批处理文件、可执行程序和支持脚本的 Windows 脚本主机。

例如 :

可以用网络连接、打印机连接、应用程序的快捷方式和公司文档组建用户环境，还可以用脚本在用户退出和关闭计算机的时候清除桌面等等。


2. Windows 2000按以下顺序运行脚本： ⑴ 当为一个用户或计算机指定多个登录 / 注销或

者启动 / 关闭脚本时，脚本按照“属性”对话框所列的顺序从上到下运行。

⑵ 当计算机关闭时， Windows 2000首先处理注销脚本，然后处理关闭脚本。

⑶ 默认情况下，处理脚本的超时取值为 10分钟。


3. 设置脚本的组策略设置步骤：


配置文件夹重定向1. 什么是文件夹重定向？ “ 重定向”是指把这些文件夹从用户的硬盘上重定向到服务器的硬盘中。

重定向文件夹使用户可以定位并访问他们的数据，不管他们从什么计算机上登录。存储在服务器中的数据看起来好象在用户本地计算机上。

可以重定向的文件夹是“我的文档”、应用程序数据、“桌面”和“开始”菜单等。


2. 使用文件夹重定向的好处。

⑴ 桌面和“开始”菜单的重定向能够帮助管理员将整个用户群体指向同一个位置从而建立一个通用的用户界面。

⑵ 减少用户连接断开网络的时间。

⑶ 把用户数据保存到网络上 ( 而不是本地计算机 ) ，从而数据就可由信息技术部门管理和保护。


3. 操作步骤：


修改软件策略

使用组策略管理组策略

实施组策略指南

实现组策略的方法依赖于单位与网络的结构，以下提供一些关于实现组策略的原则：

⑴ 对阻止策略继承、禁止重载选项以及域间链接的 GPO的使用进行限制。

⑵ 限制影响用户或计算机的 GPO的数目，计算机启动和用户登录的时间受到需要进行处理的 GPO

的数目的很大影响。

实施组策略指南

⑶ 禁用无用的 GPO的部分。

⑷ 在单个 GPO中作相关组的设置。

⑸ 创建 GPO时，要考虑性能及委派。在 GPO中，合并设置从而减少用户登录时必须进行处理的 GPO数目可以提高性能。

使用组策略管理软件

对于许多组织来说，大多数计算机技术资源都耗费在网络管理员在办公室中到处安装软件上。 AD环境允许通过组策略从一个中心位置部署软件。与其他组策略一样，可以通过组策略对象将软件配置策略指定到站点、域和 OU中。

因此，用户可以配置组策略交互，以满足自己的喜好和网络的需要。

Windows 2000软件管理技术简介

Windows 2000 包含一个新的被称为软件安装与维护的技术，它利用新的 Windows Installer 和组策略，使管理员花最小的精力部署和管理软件。

Windows Installer 的特点为：包文件格式代替Setup.exe 、新的自修复软件功能。

包文件是一种安装文件，它是特别为随Windows

Installer 特性一起使用而创建的。包文件具有 .msi 扩展名。


Windows安装程序包，包含有安装或卸载一个应用程序的 Windows安装程序所需要的所有信息。

一个软件包包含一个 Windows安装程序（或 msi

文件），和安装或卸载软件时所需要的任何外部文件。一个 msi 包文件也可以包含有关软件以及本身的概要信息，还包含产品文件或产品文件所在安装位置的参考信息。


1. Windows Installer

Windows Installer 的优点包括：

⑴ 自定义安装。

⑵ 应用程序快速自修复。如果一个关键的文件被删除或遭到破坏，应用程序将自动返回到安装源处获取文件新的拷贝，而不需要用户干预。

⑶ 干净删除 (Clean Removal)。可以不留任何文件或避免无意破坏别的应用程序而卸载应用程序。例如：避免删除另外一个程序所需要的共享文件夹。

2. Windows 2000软件安装与维护技术

Windows 2000软件安装与维护技术允许用户利用组策略和活动目录服务布署和管理软件。

当组织得到一个 Windows Installer 包文件后，管理员可以创建与该包文件关联的组策略对象(GPO) 。

这些 GPO 可以完成如下工作：


⑴ 在用户计算机上安装应用程序。当用户登录时或计算机打开时或用户需要时安装工作自动完成。

⑵ 升级应用程序以前的版本或者自动地应用软件包或服务补丁。

⑶ 删除应用程序。



使用软件安装与维护技术的最大好处是用户可以不用访问单位里每个用户的计算机就可以管理和布署软件。由于有 Windows Installer 包文件，管理员可以使用组策略管理和布署大多数的软件。

注意：

软件安装与维护技术是使用组策略进行工作的。因此，这些布署和管理特征只对运行 Windows 2000的客户计算机有用。若用户拥有的客户计算机是运行其他操作系统，需要进行替换或者使用其它布署方案。