系統(tǒng)組策略幾乎是各位網(wǎng)絡(luò)管理人員管理網(wǎng)絡(luò)時(shí)的必用利器之一，有關(guān)該利器的常規(guī)應(yīng)用技巧，相信許多人都已經(jīng)耳熟能詳了。例如，可使用"組策略"從桌面刪除圖標(biāo)、自定義"開(kāi)始"菜單并簡(jiǎn)化"控制面板"。此外,還可添加在計(jì)算機(jī)上（在計(jì)算機(jī)啟動(dòng)或停止時(shí)，以及用戶(hù)登錄或注銷(xiāo)時(shí)）運(yùn)行的腳本，甚至可配置Internet Explorer。 但是在組策略在企業(yè)中的應(yīng)用還遠(yuǎn)不止此，更多深層次的應(yīng)用，讓我們一起來(lái)探索組策略在企業(yè)中的應(yīng)用吧！

技術(shù)門(mén)診是51CTO社區(qū)品牌欄目，每周邀請(qǐng)一位客座專(zhuān)家，為廣大技術(shù)網(wǎng)友解答疑問(wèn)。從熱門(mén)技術(shù)到前沿知識(shí)，從技術(shù)答疑到職業(yè)規(guī)劃。每期一個(gè)主題，站在最新最熱的技術(shù)前沿為你引航

本期門(mén)診特邀請(qǐng)微軟技術(shù)專(zhuān)家、三屆微軟windows方向MVP蘇繁與大家交流分享組策略管理在企業(yè)中的深層次應(yīng)用。大家可針對(duì)組策略的應(yīng)用以及日常管理中遇到的組策略的相關(guān)問(wèn)題與專(zhuān)家進(jìn)行互動(dòng)交流。

姓　　名：蘇繁

[[9580]]

擅長(zhǎng)領(lǐng)域：windows

三屆連任的微軟最有價(jià)值專(zhuān)家（Windows方向），河南微軟技術(shù)聯(lián)盟的創(chuàng)建人。熱衷于微軟產(chǎn)品和技術(shù)的學(xué)習(xí)及推廣，擅長(zhǎng) Windows Client/Server 技術(shù)，Windows SBS 產(chǎn)品，Windows 的 MDT 部署，微軟虛擬化技術(shù)以及 IIS、DNS 在 Hosting 領(lǐng)域的技術(shù)應(yīng)用。

查看本期門(mén)診精彩實(shí)錄：http://doctor.51cto.com/develop-163.html

參與最新技術(shù)門(mén)診：http://doctor.51cto.com/

精選本期網(wǎng)友提問(wèn)與專(zhuān)家解答，以供網(wǎng)友學(xué)習(xí)參考。

Q：域的組策略是一直在用的,我工作中主要應(yīng)用的功能就是通過(guò)策略安裝打印機(jī),軟件,桌面重定向等等.今天遇到專(zhuān)家,不禁想了解一下.組策略的深層應(yīng)用,有那些比較實(shí)用的功能??可以為企業(yè)或者系統(tǒng)管理帶來(lái)什么樣的效果?先謝過(guò)了!

A：yjtmail您好，我們知道組策略實(shí)際上就是系統(tǒng)策略的高級(jí)擴(kuò)展，通過(guò)MMC界面我們可以直觀地對(duì)注冊(cè)表進(jìn)行相關(guān)項(xiàng)的修改，此外還可以通過(guò)ADM文件添加更多的配置支持。在AD環(huán)境中我們依靠組策略來(lái)實(shí)現(xiàn)客戶(hù)端配置的集中化管理，從而幫助企業(yè)實(shí)現(xiàn)桌面標(biāo)準(zhǔn)化并降低維護(hù)成本。

Q：一般企業(yè)中常用的組策略的設(shè)置有哪些呢？最經(jīng)常設(shè)置的地方時(shí)哪里呢？是否有相應(yīng)的設(shè)置模板？對(duì)于一個(gè)使用AD域環(huán)境的組策略，最多設(shè)置的組策略是否有限制？為什么？如果領(lǐng)導(dǎo)要求調(diào)出已經(jīng)在企業(yè)環(huán)境中已經(jīng)實(shí)施的組策略，可否有快捷簡(jiǎn)便的方法顯示出在具體某個(gè)OU或者部門(mén)間實(shí)施的組策略設(shè)置？謝謝專(zhuān)家指點(diǎn)！

A：bluebaby001您好，企業(yè)中常用組策略的設(shè)置主要依據(jù)企業(yè)的實(shí)際需求，比如禁用無(wú)用的服務(wù)、軟件限制、目錄權(quán)限、文件夾重定向等等。GPO支持添加模板，擴(kuò)展名通常為ADM或ADMX。對(duì)于用戶(hù)或計(jì)算機(jī)賬戶(hù)最多能應(yīng)用999個(gè)組策略，有關(guān)相信的信息可以參考：http://technet.microsoft.com/en-us/library/cc756101(WS.10).aspx GPO的管理可以使用GPMC。

Q：現(xiàn)在還沒(méi)有用到這個(gè)相關(guān)的知識(shí)，但是對(duì)這個(gè)很感興趣，有什么好的書(shū)推薦，最好既有理論又有實(shí)踐的，或者什么好的學(xué)習(xí)途徑，請(qǐng)介紹一下，謝謝了！

A：jisuanji11011您好，推薦兩個(gè)網(wǎng)站：Windows Server 組策略、Group Policy Team Blog。《Windows Group Policy Administrator's Pocket Consultant》這本書(shū)的口碑不錯(cuò)！但是我個(gè)人建議其實(shí)可以多在網(wǎng)上找些資料看看。另外強(qiáng)烈推薦Technet Webcast給你，早先推出過(guò)《組策略高手·完全手冊(cè)》系列的視頻廣播，我認(rèn)為對(duì)學(xué)習(xí)組策略非常有價(jià)值。

Q：呵呵，問(wèn)一下，域用戶(hù)漫游生成的文件夾，在刪除用戶(hù)，對(duì)應(yīng)的文件夾，用ADMINISTRATOR刪除不了，提示沒(méi)有相應(yīng)的權(quán)限，在域服務(wù)器上。有什么正確的流程進(jìn)行刪除不，關(guān)于漫游用戶(hù)方法。再比如：一個(gè)漫游的用戶(hù)改名，怎么讓改名后用戶(hù)對(duì)應(yīng)未改名時(shí)的用戶(hù)文件夾，怎么取得相關(guān)的權(quán)限，謝謝解答！

A：除去安全因素考慮，生成的用戶(hù)目錄默認(rèn)只有CREATOR OWNER有完全控制權(quán)限，如果管理員要對(duì)其進(jìn)行修改，必須先獲得所有權(quán)再添加其他用戶(hù)權(quán)限。如果公司安全策略允許，可以為主目錄的安全權(quán)限做適當(dāng)調(diào)整，添加相應(yīng)的管理組對(duì)主目錄下的子文件夾及文件有對(duì)應(yīng)的權(quán)限。用戶(hù)更名后，本地用戶(hù)目錄并不會(huì)更改名稱(chēng)，在注銷(xiāo)后會(huì)重新將文件同步到服務(wù)器?；蛘咝薷挠脩?hù)配置文件將其設(shè)定為強(qiáng)制漫游，即手工指定配置文件路徑。

Q：在組策略為啥不能徹底禁用QQ呢，在"用戶(hù)配置" >"管理模板">"系統(tǒng)"  >"不要運(yùn)行指定的windows應(yīng)用程序" 里面設(shè)置了，禁用QQ.EXE ，為啥點(diǎn)擊"QQ在線(xiàn)"狀態(tài)以后，可以啟動(dòng)QQ呢？

A：我個(gè)人認(rèn)為您的這種做法并無(wú)法有效地禁用QQ，"不要運(yùn)行指定的windows應(yīng)用程序"說(shuō)明中已經(jīng)清楚地進(jìn)行了解釋。

我建議通過(guò)用戶(hù)配置-windows設(shè)置-安全設(shè)置-軟件限制策略進(jìn)行禁用。如：新建路徑規(guī)則，添加 *qq*，安全級(jí)別為不允許，但是如果用戶(hù)有權(quán)限能更改其名稱(chēng)，那么就需要通過(guò)證書(shū)規(guī)則或哈希規(guī)則來(lái)禁用，這兩項(xiàng)的數(shù)據(jù)可以從qq.exe文件屬性中數(shù)字簽名中獲取。

Q：專(zhuān)家，你有實(shí)施過(guò)SCOM的經(jīng)驗(yàn)嗎，能不能推薦一本好點(diǎn)書(shū)。

A：對(duì)不起我對(duì)SCOM并不熟悉，很多資料我都會(huì)先從網(wǎng)上進(jìn)行搜索，比如閱讀微軟SCOM網(wǎng)站或官方的Blog，此外TechNet Webcast推出過(guò)SCOM系列專(zhuān)題的網(wǎng)絡(luò)廣播，可以下載學(xué)習(xí)。

Q：生成的用戶(hù)目錄默認(rèn)只有CREATOR OWNER有完全控制權(quán)限，如果管理員要對(duì)其進(jìn)行修改，必須先獲得所有權(quán)再添加其他用戶(hù)權(quán)限，請(qǐng)講一下，管理員怎么獲得所有權(quán)，是不是所有者改為administrator。

A：是的，將所有者改為管理員賬戶(hù)，就可以進(jìn)行權(quán)限配置。大致步驟：進(jìn)入該目錄屬性，切換到安全選項(xiàng)卡，進(jìn)入高級(jí)設(shè)置并切換到所有者選項(xiàng)卡。

Q：專(zhuān)家您好，我想問(wèn)一下，在中小企業(yè)中的Windows服務(wù)器管理方面能夠?qū)嵤┦裁唇M策略呢，組策略對(duì)管理來(lái)說(shuō)又有什么利與弊呢，在此謝過(guò)！

A：為Windows服務(wù)器實(shí)施組策略能極大地降低系統(tǒng)管理員的工作量，例如指定這些服務(wù)器要禁用的服務(wù)，允許本地登錄的賬戶(hù)，賬戶(hù)鎖定策略，文件系統(tǒng)權(quán)限規(guī)劃，IPSec等等。

要統(tǒng)一實(shí)施組策略，計(jì)算機(jī)必須加入到AD。如果企業(yè)內(nèi)一些服務(wù)器不適用于AD環(huán)境，那么就只能通過(guò)單機(jī)組策略進(jìn)行配置，可以使用gpedit.msc進(jìn)行配置。

Q：修改組策略就是修改注冊(cè)表，但是組策略里能修改的東西相對(duì)于注冊(cè)表還是比較少的，您這里說(shuō)的組策略深層次應(yīng)用，個(gè)人覺(jué)得是不是通過(guò)修改注冊(cè)表能夠更深層次的管理系統(tǒng)，（當(dāng)然注冊(cè)表要遠(yuǎn)遠(yuǎn)復(fù)雜與組策略）

A：組策略并不能完全對(duì)照注冊(cè)表的各個(gè)項(xiàng)進(jìn)行修改。它主要用于幫助管理員對(duì)計(jì)算機(jī)和用戶(hù)的管理配置指定選項(xiàng)。這樣當(dāng)一臺(tái)計(jì)算機(jī)加入到域后就能夠通過(guò)組策略進(jìn)行預(yù)定義配置，以滿(mǎn)足企業(yè)的需要。此外用戶(hù)也能通過(guò)組策略的預(yù)定義配置，來(lái)獲得更好的桌面體驗(yàn)。

Q：您好,我想問(wèn)下,組策略可不可以像注冊(cè)表那樣,編寫(xiě)reg文件的方式,快捷的修改呢?我之前都是為了防范優(yōu)盤(pán)病毒,添加路徑規(guī)則,一條一條添加,如h:\*.exe j:\*.bat等等,好累.能否建立一個(gè)文件,以后一執(zhí)行就都弄好了.

 A：可以創(chuàng)建一個(gè)只包含路徑規(guī)則的GPO，并使用GPMC將其備份出來(lái)，以后再使用時(shí)就可以在創(chuàng)建了新的GPO后，先將包含路徑規(guī)則的GPO備份導(dǎo)入現(xiàn)有GPO中。

Q：我在dc上建了個(gè)組織單元在里面建了個(gè)用戶(hù)，然后對(duì)組織單元實(shí)施組策略，可是用這個(gè)用戶(hù)登陸域之后沒(méi)什么變化，就是組策略沒(méi)起作用，重起了也沒(méi)什么用。

A：建議在客戶(hù)端實(shí)行update /force之后根據(jù)提示重新啟動(dòng)，使用rsop.msc檢查是否執(zhí)行了策略。否則請(qǐng)檢查日志是否有相關(guān)的警告或錯(cuò)誤。做進(jìn)一步分析。

Q：想問(wèn)一下...如何公司的管理不是域模式;就是普通的工作組模式;那除了用組策略單個(gè)設(shè)置各臺(tái)機(jī)器的外，還有什么其它的用途呢？謝謝了！

A：使用組策略在AD環(huán)境下是最高效的。

Q：專(zhuān)家你好！剛剛畢業(yè)參加一家公司工作就遇到了這個(gè)組策略的問(wèn)題！真的很不錯(cuò)！至少我想在網(wǎng)吧里有很多的桌面的東西不讓看不讓改都用了了它！想請(qǐng)專(zhuān)家推薦幾本講組策略的書(shū)看看！謝謝！

 A：參考前面的解答，其實(shí)網(wǎng)上就有不少資源，特別是Technet上提供不少有價(jià)值的咨詢(xún)。感謝提問(wèn)。

Q：蘇先生你好，我想請(qǐng)教一下：

1.是否有一個(gè)域控制器控制多個(gè)域的組策略的方案

2.建立多個(gè)域之間的信任關(guān)系需要注意什么樣的安全性的問(wèn)題

A：wenduke，您好。能否進(jìn)一步介紹說(shuō)明您當(dāng)前的架構(gòu)體系。

Q：您好！我想請(qǐng)問(wèn)一下，學(xué)習(xí)網(wǎng)絡(luò)管理員必備的專(zhuān)業(yè)課程有哪些？謝謝！

A：我個(gè)人認(rèn)為，網(wǎng)絡(luò)管理員具備的專(zhuān)業(yè)課程取決于您當(dāng)前服務(wù)的環(huán)境，再進(jìn)行投入性的學(xué)習(xí)。但是對(duì)于行業(yè)通用的產(chǎn)品或技術(shù)應(yīng)該有一定的認(rèn)識(shí)。謝謝！

Q：專(zhuān)家你好：為什么在本地策略中管理員狀態(tài)和來(lái)賓用戶(hù)狀態(tài)都不適用，怎么修改呀？

A：zhengweiping，您好！您提問(wèn)中的管理員狀態(tài)和來(lái)賓用戶(hù)狀態(tài)具體指的是什么？

Q：今日有幸遇到專(zhuān)家，想了解一下，組策略是否可以設(shè)置有關(guān)網(wǎng)絡(luò)端口方面的內(nèi)容，比如BT的端口，QQ的端口。謝謝。

A：zhuzengju，您好！對(duì)于您的問(wèn)題，我理解的是是否能夠通過(guò)組策略對(duì)客戶(hù)端配置端口策略。在組策略中，我們可以通過(guò)安全設(shè)置-IP安全策略對(duì)端口進(jìn)行設(shè)置。

Q：你好！在域控制器上的應(yīng)用組策略的時(shí)候提示，組策略不可用，但Netlong服務(wù)是正常運(yùn)行，請(qǐng)問(wèn)這種問(wèn)題該怎樣解決？

A：能夠提供更詳細(xì)的錯(cuò)誤信息，日志中是否有相關(guān)的警告錯(cuò)誤呢？執(zhí)行g(shù)pupdate /force會(huì)獲得一些可用信息。

Q：專(zhuān)家您好，我想請(qǐng)您推薦幾本關(guān)于組策略及企業(yè)應(yīng)用方面的入門(mén)和中級(jí)的書(shū)，以前學(xué)習(xí)過(guò)這些。。但是不是重點(diǎn)學(xué)習(xí)，對(duì)于策略的應(yīng)用及規(guī)則很不懂。。也希望多學(xué)習(xí)學(xué)習(xí)。謝謝了。

A：組策略的學(xué)習(xí)上面已經(jīng)解答過(guò)，可以通過(guò)微軟Technet Webcast進(jìn)行學(xué)習(xí)。那里有不少好資源。企業(yè)應(yīng)用入門(mén)，可以找找Microsoft TechNet中文資源指南 - 企業(yè) IT 構(gòu)建核心基礎(chǔ)架構(gòu)解決方案。網(wǎng)上應(yīng)該能夠找到電子版的。

#P#

Q：老師您好，請(qǐng)教您一個(gè)問(wèn)題果在域環(huán)境中，普通域用戶(hù)是沒(méi)有磁盤(pán)管理權(quán)限。請(qǐng)問(wèn)在組策略中能否進(jìn)行相關(guān)設(shè)置，允許普通域用戶(hù)具有磁盤(pán)管理權(quán)限。

A：使用組策略中計(jì)算機(jī)配置-windows設(shè)置-安全設(shè)置-文件系統(tǒng)，即可為客戶(hù)端配置統(tǒng)一的磁盤(pán)權(quán)限。謝謝提問(wèn)！

Q：蘇先生，你好！我想請(qǐng)問(wèn)一下，對(duì)于企業(yè)管理與維護(hù)來(lái)說(shuō)，具體地該怎樣應(yīng)用組策略來(lái)達(dá)到信息安全的最大化？謝謝！

A：清楓俠士，您好！企業(yè)信息安全最大化，我個(gè)人認(rèn)為是一個(gè)龐大復(fù)雜的工程。首先要有一個(gè)安全標(biāo)準(zhǔn)，然后根據(jù)這個(gè)安全標(biāo)準(zhǔn)實(shí)施安全措施，其中GPO也只是一種手段。對(duì)于系統(tǒng)高級(jí)選項(xiàng)的設(shè)置以及支持GPO的應(yīng)用軟件，我們可以依靠GPO對(duì)AD中的服務(wù)器和客戶(hù)端PC實(shí)施統(tǒng)一的預(yù)配置。在GPO的安全設(shè)置中提供了賬戶(hù)、本地、防火墻、軟件限制等多種策略。

Q：組策略中有連個(gè)計(jì)算機(jī)配置和用戶(hù)配置，他們之間的區(qū)別在那??？設(shè)置好以后必須重啟電腦嗎？

A：計(jì)算機(jī)配置和用戶(hù)配置，顧名思義。一個(gè)是針對(duì)計(jì)算機(jī)設(shè)置的，一個(gè)是針對(duì)用戶(hù)設(shè)置的。他們的選項(xiàng)內(nèi)容還是有一定的區(qū)別。比如在計(jì)算機(jī)配置下就能夠?qū)ξ募到y(tǒng)、系統(tǒng)服務(wù)、注冊(cè)表等隸屬計(jì)算機(jī)對(duì)象的選項(xiàng)進(jìn)行配置。此外，當(dāng)為一個(gè)OU配置GPO時(shí)，如果其中包含計(jì)算機(jī)和用戶(hù)對(duì)象，并設(shè)置了GPO中的計(jì)算機(jī)配置和用戶(hù)配置。當(dāng)一個(gè)域帳戶(hù)登錄時(shí)會(huì)應(yīng)用GPO的計(jì)算機(jī)配置和用戶(hù)配置，但如果是OU之外的一個(gè)沒(méi)有配置GPO的AD賬號(hào)登錄計(jì)算機(jī)，則只應(yīng)用計(jì)算機(jī)配置。如果是計(jì)算機(jī)的一個(gè)本地賬號(hào)登錄那么也只應(yīng)用計(jì)算機(jī)配置。

在配置了GPO后，可以在客戶(hù)端執(zhí)行g(shù)pupdate/force，根據(jù)提示選擇是否重新啟動(dòng)。

Q：在組策略中哈希和路徑的區(qū)別，用了之后也沒(méi)發(fā)現(xiàn)區(qū)別，看了網(wǎng)上的資料也不是很清楚， 蘇教授您分析一下。

A：rengguangli78yu，您好！軟件限制策略中一旦添加了路徑規(guī)則，那么如果用戶(hù)將程序名稱(chēng)修改你講無(wú)法實(shí)施對(duì)該軟件的限制策略。而使用哈希值，即使程序更名或移動(dòng)位置也能被識(shí)別，此外利用哈希值也可以幫助用戶(hù)防止病毒。只要文件本身內(nèi)容不變，那么它的哈希值就不會(huì)變化。相比較路徑規(guī)則，利用哈希值能更準(zhǔn)確得識(shí)別對(duì)象。

Q：專(zhuān)家您好！我最近正好在學(xué)習(xí)組策略相關(guān)知識(shí)，前二天做一個(gè)ipsec安全策略的時(shí)候遇到問(wèn)題，問(wèn)了好多人無(wú)法解答，問(wèn)題如下：

環(huán)境：工作組模式，一臺(tái)PC ，ip:172.19.51.3,netmask:255.255.255.0,gateway:172.19.51.1，機(jī)器無(wú)任何還原軟件。

實(shí)驗(yàn)?zāi)繕?biāo)：限定該P(yáng)C只能與同一網(wǎng)段以及外網(wǎng)某一IP（假設(shè) 1.1.1.1）通訊，其它通訊都阻止。

實(shí)驗(yàn)步驟：在組策略的計(jì)算機(jī)配置-ip安全策略中設(shè)置了2條IP安全規(guī)則，1是允許該機(jī)與同網(wǎng)段IP以及外網(wǎng)某一IP通訊，2是拒絕其它所有通訊，然后做了指派，再進(jìn)行g(shù)pupdate /force,當(dāng)時(shí)測(cè)試了一下，生效，達(dá)到了預(yù)期目的，緊接著重啟電腦，再測(cè)試發(fā)現(xiàn)不起效果了，不知何故，請(qǐng)專(zhuān)家解答一下，謝謝！

有點(diǎn)長(zhǎng)，不好意思 ：）

A：號(hào)天，您好！對(duì)于您的問(wèn)題我的理解是，您希望通過(guò)實(shí)施IPSec，實(shí)現(xiàn)如下的目標(biāo)：

1、該計(jì)算機(jī)只能與同網(wǎng)段IP及其他網(wǎng)段某一IP通訊；

2、同網(wǎng)段IP及其他網(wǎng)段某一IP能訪(fǎng)問(wèn)該計(jì)算機(jī)。

那么你需要?jiǎng)?chuàng)建創(chuàng)建兩個(gè)拒絕規(guī)則

1、拒絕任何計(jì)算機(jī)訪(fǎng)問(wèn)本機(jī)

2、拒絕本機(jī)訪(fǎng)問(wèn)任何計(jì)算機(jī)

之后創(chuàng)建2個(gè)允許規(guī)則，后面不再?gòu)?fù)述。

當(dāng)重新啟動(dòng)計(jì)算機(jī)后"不起效果"，具體是什么故障問(wèn)題？！建議用rsop.msc執(zhí)行GPO分析。

Q：請(qǐng)問(wèn)專(zhuān)家如何搭建組策略學(xué)習(xí)的環(huán)境，如果身邊不具備AD的實(shí)驗(yàn)環(huán)境，又想深入學(xué)習(xí)組策略應(yīng)用的話(huà)。是否可是使用虛擬機(jī)環(huán)境？

 A：likejackie，您好！如果能搭建虛擬環(huán)境，那么將會(huì)對(duì)學(xué)習(xí)提供很大的便利。對(duì)于GPO的學(xué)習(xí)，我個(gè)人認(rèn)為還是應(yīng)該在AD環(huán)境中進(jìn)行學(xué)習(xí)和實(shí)驗(yàn)。

Q：對(duì)于組策略中軟件的部署，客戶(hù)端用戶(hù)需要什么權(quán)限！MSI的文件包好象是USERS組就可以了，但其它的格式的文件好象要administrators!

A：windyeye，您好！通常通過(guò)GPO部署MSI無(wú)需管理憑據(jù)。如果使用zap則需要管理憑據(jù)，即有安裝權(quán)限的賬號(hào)。此外通常使用GPO部署軟件時(shí)建議通過(guò)計(jì)算機(jī)配置進(jìn)行分發(fā)。

Q：專(zhuān)家好，我現(xiàn)在遇到這樣一個(gè)問(wèn)題，在域中一臺(tái)DNS上緩存的記錄是錯(cuò)誤是記錄，假設(shè)說(shuō)DNS的緩存中的A記錄是：a.demo.com的IP：202.106.199.34，在demo.com的NS服務(wù)器中根本就沒(méi)有創(chuàng)建a.demo.com這個(gè)域名，為什么DNS緩存中會(huì)有這個(gè)地址呢？這是什么原因造成的？請(qǐng)指教，謝謝。

A：pc-fans，您好！可以嘗試清除緩存。如果仍能解析a.demo.com，那么可能是demo.com的ns服務(wù)器中創(chuàng)建了該域名的范解析記錄。

Q：我是一家公司的IT，請(qǐng)問(wèn)我如何說(shuō)服我們總監(jiān)同意在公司使用AD呢（用戶(hù)客戶(hù)端多未加入域）？您能例舉出具體的優(yōu)勢(shì)嗎？

A：簡(jiǎn)單說(shuō)AD是一種管理架構(gòu)，他是為實(shí)現(xiàn)安全管理和標(biāo)準(zhǔn)化管理為宗旨的。利用AD我們可以合理、安全的分配企業(yè)內(nèi)部的信息資源，例如允許哪個(gè)用戶(hù)登錄到哪臺(tái)計(jì)算機(jī)，訪(fǎng)問(wèn)指定的資源，并統(tǒng)一Windows桌面設(shè)置。每臺(tái)計(jì)算機(jī)都不再是信息孤島，他們彼此安全的相連接并被集中統(tǒng)一管理著。此外微軟很多產(chǎn)品都與AD集成，如ISA，Exchange等等。這里我強(qiáng)烈建議您瀏覽兩個(gè)地址：

Windows Server 2003 活動(dòng)目錄

活動(dòng)目錄的新特性

Q：專(zhuān)家好，我是一個(gè)組策略的初學(xué)者。我想問(wèn)一下組策略有沒(méi)有模板一類(lèi)的東西，在使用的時(shí)候可以直接導(dǎo)入。要怎么導(dǎo)入和導(dǎo)出組策略？

A：GPO提供管理模板，一些應(yīng)用程序也提供GPO模板供使用，如Office，OCS等等。進(jìn)入組策略編輯器后選中管理模板，右鍵單擊出現(xiàn)列表，使用添加/刪除模板來(lái)管理adm模板，可參考：http://support.microsoft.com/kb/816662。在Windows Server 2003資源工具包中包含了一些GPO模板。如果你希望直接能應(yīng)用自己預(yù)先配置好的設(shè)置，則需要編寫(xiě)ADM文件?？蓞⒖迹?A >http://support.microsoft.com/kb/323639。否則可以通過(guò)GPMC導(dǎo)出GPO，可參考：http://technet.microsoft.com/zh-cn/library/cc759276(WS.10).aspx。

Q：專(zhuān)家好：我們公司使用軟件限制策略限QQ軟件，使用散列規(guī)則限制，但是由于QQ的版本很多，很難做到?jīng)]有遺這應(yīng)該怎么辦？我們公司的防火墻很爛，做不了QOS，但有些機(jī)器卻不能禁止使用下載軟件，有沒(méi)有什么辦法可以的限制一下下載軟件的速度（哪種下載軟件都可以，不過(guò)要使用服務(wù)器統(tǒng)一控制下載速度）。

A：anyuepiaoling，您好！據(jù)我所知目前Tencent對(duì)允許登錄的版本是有限制的，過(guò)低的版本貌似已經(jīng)無(wú)法登錄。如果你的描述涉及到第三方修改的版本，建議你對(duì)這些版本進(jìn)行收集并并創(chuàng)建哈希規(guī)則。同時(shí)創(chuàng)建路徑規(guī)則如：*qq*來(lái)進(jìn)行禁用。

要進(jìn)行速度限制恐怕GPO無(wú)法實(shí)現(xiàn)，需要借助其他軟件。謝謝！

Q：謝謝老師的回答！通常使用GPO部署軟件時(shí)建議通過(guò)計(jì)算機(jī)配置進(jìn)行分發(fā),為何通過(guò)計(jì)算機(jī)配置進(jìn)行分發(fā)好一點(diǎn)！

A：windyeye，您好！使用用戶(hù)配置會(huì)導(dǎo)致每個(gè)用戶(hù)在登錄時(shí)都執(zhí)行一次安裝。謝謝！

Q：蘇先生，你好，我想請(qǐng)問(wèn)一個(gè)比較簡(jiǎn)單的問(wèn)題，通過(guò)組策略，如果鎖定桌面用戶(hù)的圖標(biāo)或者通過(guò)管理員統(tǒng)一更改呢？用戶(hù)的開(kāi)關(guān)機(jī)情況是否可以通過(guò)組策略來(lái)統(tǒng)一匯總查看呢？謝謝。

A：可以使用用戶(hù)配置-管理模板-桌面來(lái)進(jìn)行配置。而用戶(hù)開(kāi)關(guān)機(jī)記錄無(wú)法通過(guò)GPO實(shí)現(xiàn)統(tǒng)一匯總查看。

Q：專(zhuān)家您好，有關(guān)桌面維護(hù)這一塊，在企業(yè)中，如何設(shè)置組策略可以讓系統(tǒng)更安全，有沒(méi)有相關(guān)的組策略的導(dǎo)入導(dǎo)出工具（針對(duì)XP系統(tǒng)），有沒(méi)有相關(guān)的書(shū)籍系統(tǒng)的介紹這一塊，望推薦一本。謝謝！！

A：gengliang，您好！推薦您閱讀前面的解答。謝謝！

Q：專(zhuān)家，您好！請(qǐng)問(wèn)在域控制器的組策略管理平臺(tái)中，提供了哪些組策略的管理工具，以及這些工具在什么時(shí)候使用可以達(dá)到事半功倍的效果？謝謝！

A：GPMC和AGPM都是用來(lái)管理組策略的管理工具。前者在WinXP和WinSRV2003是最常用的。關(guān)于AGPM建議閱讀http://technet.microsoft.com/zh-cn/library/dd420488.aspx
 

【編輯推薦】

1. [第149期] 無(wú)線(xiàn)局域網(wǎng)（WLAN）常見(jiàn)問(wèn)題解析
2. [第148期] 從細(xì)微處做起 全面打造系統(tǒng)安全
3. [第147期] 為你的企業(yè)網(wǎng)絡(luò)把脈，構(gòu)建健康通暢企業(yè)網(wǎng)