组策略的出现使得很多原来需要通过修改注册表才能实现的修改一下变得简单起来,关于什么是组策略,我想不用多作说明了,大家运行“GPEDIT.MSC”就会知道。此外,组策略在网络中的应用很广泛,例如当你需要给网络的客户机安装一个软件或修改一个设置,用组策略都能帮你轻松搞定?但前提是你的网络服务器已升级为域服务器。只需在域服务器中设置好组策略,就能应用到这个域的所有客户机中,本文的域名是“AD.EXAMPLE.MICROSOFT.COM”。
域服务器设置
在域服务器上运行“DSA.MSC”打开“Active Directory用户和计算机”窗口,在域名“AD.EXAMPLE.MICROSOFT.COM”上单击右键,选择 “属性”,在弹出的对话框中点击“组策略”选项卡(如图1所示),列表中显示的就是已经设置好的策略,你可以在这些策略上修改,也可以新建一个。点击“新建”,然后修改好名字如“install”,选中这个组策略按“编辑”按钮,这时就进入到我们熟悉的组策略设置窗口,这个组策略的设置跟单机上的组策略完全一样,由于是给客户机安装软件,那么现在就需要用到组策略中的登录脚本来实现。不过在设置组策略之前,需要把脚本文件准备好,打开记事本,输入“start/wait \192.168.0.1hotfixchaqq.exe”,保存为“C:ADFILE INSTALL.BAT”,然后将程序chaqq.exe也复制到C:ADFILE文件夹中,如果需要安装多个程序,在批处理文件INSTALL.BAT中追加即可,但要注意不要把“/wait”去掉,不然这些程序就会同时安装,加上这个参数目的是让程序一个接一个地安装。
建立好批处理文件后,把“C:ADFILE”文件夹设为共享,共享名不用修改。返回到组策略设置窗口,展开“用户设置→Windows设置→脚本-(登录/注销)”,在右边窗口中双击“登录”,在弹出的对话框中按“添加→浏览”选择“INSTALL.BAT”文件,在这里选择批处理文件需要一些技巧,你不能直接进入“C:ADFILE”文件夹选择,而是要通过网上邻居来选择这个批处理文件,原因是客户机是通过网络访问这个文件的,因此要将这个批处理文件所在的路径改为网络路径,你可以这样来选择这个文件,在浏览框中输入\192.168.0.1(假如域服务器的IP是192.168.0.1),然后进入“ADFILE”文件夹点选中“INSTALL.BAT”,最后的路径如下图所示,按“确定”按钮完成组策略的设置。
如果客户机还没有加入域中,请按照以下方法添加:
打开“我的电脑”的属性框,在“网络标识”选项卡中按“属性”按钮,然后在“隶属于”下点选中“域”单选项。这时文本框就会被激活,在这个文本框中填入你的网络所在的域(本文的域是“AD.EXAMPLE.MICROSOFT.COM”),然后按“确定”。如果网卡属性的“DNS地址”已设置成域服务器的IP,这时就会弹出一个框让你输入登录域的用户名和密码,你在这里填写的用户名必须先在域服务器上建立好并且将其加到“Account Operators”组中。另外,不要忘记在域服务器上新建一个计算机账户,只有这样才可以用这个用户名把客户机添加到域中。把用户名和密码都填好,点击“确定”,当弹出 “欢迎加入到域”的提示信息,说明这台客户机已经是域成员了。
当客户机在下次登录系统的时候,会发现登录框中多了域的选项,在这个选项中选择一个域(本文是“AD.EXAMPLE.MICROSOFT.COM”),然后在用户名和密码框中分别输入相应的用户名和密码。
验证通过后,客户机就会根据批处理文件中指定的程序清单给系统安装相应的程序。当然,在安装这些程序的过程中还是需要用户选择安装路径等相关操作。
客户机都安装完这些程序后,不要忘了在域服务器中把这个组策略删除,否则当客户机下次登录时又会自动调用这些安装程序。以上只是应用了组策略中的“登录脚本”策略,但是你要知道一点就是,只需在组策略中把要修改的策略都设置好,凡是登录这个域的客户机都能应用到这些策略。
如果用本文的方法给客户机安装系统补丁,那么客户机登录到域的那个账户还需要具有管理员权限才可以安装。
提示:本文的操作都是以管理员身份登录,域服务器的操作系统是Windows Server 2003,客户机的操作系统是Windows 2000 Professional。