组策略应用之域环境内的统一发放补丁

域环境使用组策略实现统一企业桌面
因为公司内很多员工总是总是把工作用的计算机的桌面背景改成一些个性很强的一些图片，从公司的某一个角度看过去，每个显示器所显示的桌面都是不一样。

这样公司管理层对此总是不满意，那么就衍生了需要我们IT人员去强制把每一个员工的桌面背景统一起来，让来访的客户或者企业参观者看起来企业管理非常有序，企业形象非常强。

下面我来介绍如何统一企业桌面，自然我们的环境也必须是要有域环境才能实现统一。

步骤：
1.在域内创一个共享文件夹用来存放要用来做墙纸的图片,我就放在dc的D:\TEST\test.jpg图片，如下图：
2、打开AD用户与计算机，在域名上右击→属性→组策略。

如下图：
3、选择“Default Domain Policy”（注：也可以自己新建策略），点编辑，出现组策略编辑器。

如下图：
4、展开组策略左边的树状拦，“用户配置”→“管理模板”→“桌面”→“Active Desktop”，在右边双击“启用Active Desktop”→启用。

如下图：
5、展开组策略左边的树状拦，“用户配置”→“管理模板”→“桌面”→“Active Desktop”，在右边双击“ ActiveDesktop墙纸”→启用，在墙纸名称那里输入用来做墙纸的那个图片网络路径（我这里是\\192.168.2.2\test\test.jpg）点确定即可。

如下图：
6、用“gpupdate”刷新一下组策略（如果其它电脑的桌面还是没换，将会在下次登陆时更换。

本机的桌面可能会变成一个单一的颜色，这里不要感到奇怪，很正常的）。

如下图：。

域环境下共享文件夹加密、Windows 2008 Server局域网共享文件夹设置权限设置的方法当前，国内很多企事业单位处于网络统一管理和网络安全的需要，通常会组建域环境，将局域网内部电脑全部加入到域里面进行控制。

毋庸置疑，通过Windows域控制器可以集中管理局域网电脑使用权限、统一推送补丁或分发各种策略，从而极大地保护了局域网网络安全，也规范了网络管理。

同时，在很多企事业单位局域网中，通常都有自己的局域网文件服务器，并且经常共享一些文件供局域网用户访问。

虽然通过域控制器可以设置局域网电脑访问共享文件的相关权限，一定程度上保护共享文件的安全。

那么，域环境下如何设置服务器共享文件的安全呢？具体如下：比如我们现在新来了一个员工李斯我们需要为他配备电脑，安装office，配置邮箱，文件共享驱动的映射等诸多事项。

那么我们可以利用组策略为员工添加文件共享服务器的映射驱动，同时也会对该用户访问权限也会随之生效1.我们需要为新员工奖励域账户，并添加到所属部门的 ou（人事）2.还需要在文件共享服务器为其添加相应的访问权限。

3. 开始-管理工具-组策略管理4.选择-人事（ou）-邮件点击-在这个域中创建GPO并在此处链接5.输入GPO名称“人事文件映射驱动”点击-确定6.选择GPO 人事文件映射驱动右键-点击编辑7.选择用户配置-首选项-windows设置-驱动器映射-右键点击新建-点击映射驱动器8.编辑新建驱动器属性，在本属性中的设置直接关系到能否正确的发布驱动器，所以我们要细细的分析一下。

在此类型的下拉列表中提供了四个选择：创建、替换、更新和删除。

组策略的应用结果会因选定的操作以及驱动器号是否已经存在而异。

[创建]：为用户创建新的映射驱动器。

[替换]: 删除并重新创建用户的映射驱动器。

“替换”操作的最终结果是覆盖与映射驱动器相关的所有现有设置。

如果驱动器映射不存在，则“替换”操作会创建新的驱动器映射。

[更新]: 修改用户的现有映射驱动器的设置。

在局域网内实现windows补丁自动分发实现（WSUS部署与安装)2007-02-06 11:04一．前言WSUS软件升级服务，是用来在内部网络中提供Windows补丁升级服务。

通过在内部网络中配置WSUS服务，所有Windows的更新都从上一级WSUS服务器集中下载到内部网的WSUS服务器中，而网络中的客户机通过本地WSUS 服务器来得到更新。

为了提高效率，节省网络带宽资源，公务网大型局域网接入用户可以部署自己的WSUS服务器（以管理中心WSUS补丁服务器为上一级服务器），为本局域网用户提供补丁升级服务。

本文则讲述了如何在网络中安装、配置和使用WSUS服务。

二．复查 WSUS 安装要求1．以下是使用默认选项进行安装的基本硬件安装要求：500客户端以下 500客户端以上CPU 300M--1G 1G--2GRAM 256M--1G 1G--1G硬盘容量 9G--30G系统盘与补丁存放盘必须是NTFS文件系统。

2．软件要求：要使用默认选项安装 WSUS，必须在计算机上安装以下软件。

如果任意一项更新要求在安装完成后重新启动计算机，则应在安装 WSUS 之前重新启动服务器。

Microsoft Internet 信息服务 (IIS) 6.0。

用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1。

（WindowsServer2003-KB867460-x86-CHS）Background Intelligent Transfer Service (BITS) 2.0。

（WindowsServer2003-KB842773-x86-chs.exe）注：如果您的win2003安装了SP1补丁，那么WindowsServer2003-KB867460-x86-CHS和WindowsServer2003-KB842773-x86-chs.exe两个补丁程序您将不需要安装。

一、网络系统管理与维护概述1．按照Is0的定义,网络管理是指规划、监督、控制网络资源的使用和网络的各种活动,以使网络的性能达到最优;2．简单地讲,网络系统管理与维护就是为了保证网络系统能够持续、稳定、安全、可靠和高效地运行,所采取的一系列方法和措施;3．一般而言,网络系统管理与维护主要包含两个任务：一是对网络的运行状态进行监测,二是对网络系统的运行状态进行控制;4．网络系统管理与维护的基本功能有：故障管理、配置管理、性能管理、计费管理和安全管理;5．在IS0的网络安全体系结构中定义了5类安全服务：鉴别服务、访问控制服务、数据机密性服务、数据完整性服务和抗抵赖性服务;6．在网络安全管理工作中,常用的技术包括：物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、网络漏洞检测技术、病毒防范技术、备份技术和终端安全技术等;7．网络管理人员的日常工作主要包含7项任务,即基础设施管理、操作系统管理、应用服务管理、用户服务与管理、安全保密管理、信息存储备份管理和机房管理;二、用户工作环境管理1．管理员利用活动目录服务,把网络中需要被管理的资源信息按照一定的方式组织起来放置在活动目录中;2,在活动目录中,所有被管理的资源信息统称为“活动目录对象”,例如：用户帐户、组帐户、计算机帐户、甚至是域、域树、域森林等都是活动目录对象;3．在一个域中,计算机角色有：域控制器、成员服务器和工作站;4．一个最简单的域中将只包含一台计算机,这台计算机一定是该域的域控制器;5,组织单位是一种容器类的活动目录对象；只能在域中创建,并且只能容纳所在域中的对象；可以对域中的一部分对象实施单独的管理;6;在活动目录环境中,组策略是实施用户工作环境管理的有力工具;通过制定组策略,管理员可以对域或组织单位中的用户与计算机的行为进行强有力的统一管理;7．根据应用对象的不同,可以把组策略分为两种;其中,应用于用户帐户的组策略,称为“用户策略”；应用于计算机帐户的组策略,称为“计算机策略”;8．组策略对象是组策略的载体；要想实现基于组策略的管理,必须先创建组策略对象,然后再对其包含的各条组策略进行设置;9．在活动目录中,系统处理GPO的先后顺序为：域的GP0一OU的GP0一子OU的GPO;10．当父容器的组策略设置与子容器的组策略设置没有冲突时,子容器会继承父容器的组策略设置;11．当父容器的组策略设置与子容器的组策略设置发生冲突时,子容器的组策略设置最终生效;12．一旦对父容器的某个GPO设置了“强制”,那么,当父容器的这个GPO的组策略设置与子容器的GPO的组策略设置发生冲突时,父容器的这个GPO的组策略设置最终生效;13．一旦对某个容器设置了“阻止继承”,那么它将不会继承由父容器传递下来的GPO设置．而是仅使用那些链接到本级容器的GPO设置;14．同一个容器上可以同时链接多个GPO,这些GPO的策略设置将被累加起来,作为最后的有效配置；如果这些GPO的策略设置发生冲突时,以排在前面的GPO配置为优先;15．如果计算机策略与用户策略发生冲突时,以计算机策略优先;16．利用组策略部署软件的方式有两种：指派和发布;17．软件限制规则有：哈希规则、证书规则、路径规则和Internet区域规则;三、网络病毒的防范1．计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码;2．通常,计算机病毒的特征为：可执行性、隐蔽性、传染性、潜伏性、破坏性或表现性、可触发性;3．计算机病毒的危害主要表现为：破坏计算机的数据、占用磁盘空间、抢占系统资源、影响计算机的运行速度、窃取机密信息、不可预见的危害;四、防火墙与入侵检测1．防火墙是一种将内部网络与外部网络分开的方法,是在内部网络和外部网络之间所施加的安全防范系统;它既是一种隔离技术,也是一种访问控制机制;2．防火墙通常安装在被保护的内部网络与Internet之间的连接点处,两个网络之间产生的所有通信流量都必须经过防火墙;3．从实现方式上看,防火墙可以分为硬件防火墙和软件防火墙两类;4.防火墙的功能主要表现为：过滤进出网络的数据、控制不安全的服务、集中的安全保护、强化私有权、网络连接的日志记录及使用统计;5．根据防范的方式和侧重点的不同,防火墙技术可以分为：数据包筛选型、应用代理型和复合型;6．ISA Server 2006的主要功能有：防火墙、VPN服务和Web缓存;7．防火墙的部署方案主要有：边缘防火墙、三向防火墙和背对背防火墙;8·ISA Server支持3种客户端：Web代理客户端、防火墙客户端和SecureNAT客户端;9·Web代理客户端和防火墙客户端支持DNS转发,而SecureNAT客户端不支持;10·Web代理客户端和防火墙客户端支持用户身份验证,而SecureNAT客户端不支持;11．在ISA Server上,创建访问规则来控制内部用户访问Internet．12．在ISA Server上,创建发布规则来控制外部用访问内部网络资源;13．入侵检测是对各种入侵行为的发现与报警,是一种通过观察通信行为、根据安全日志或审计数据来检测入侵的技术;14·入侵检测的主要内容包括：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的信息泄漏、独占资源以及恶意使用等行为;15.根据获取的数据来源,入侵检测系统可以分为：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统;五、系统容错与灾难恢复1．系统容错是指系统在出现各种软硬件故障时,仍然能够保护正在运行的工作以及继续提供正常或近似正常的服务的能力;2．灾难恢复是指在出现故障后尽最大可能保护重要的数据和资源不受破坏,使损失降到最小并且不影响其他服务;3．uPs是一种能够提供持续、稳定、不间断的电源供应的重要外部设备;4．根据工作原理,uPS通常分为3类：后备式、在线式和在线互动式;5．在平时,可以借助于一些工具对重要的数据定期制作副本,然后把这些副本存储在某种物理媒体中并且放置在安全的场所,这就是“数据的备份”;执行数据备份的工具,被称为“备份工具”;此后,如果磁盘上的原有数据遭到了破坏,则可以从物理媒体中把数据的副本还原到计算机中,使这些数据的状态恢复到原来做备份时的状态,从而实现数据容错;6．windOWS备份工具支持5种备份类型：正常备份、差异备份、增量备份、每日备份、副本备份;7．windOWS Server 2003提供了很多高级启动选项,用来修复系统启动时所遇到的各种问题;主要有：安全模式、最后一次正确的配置、VGA模式、目录服务恢复模式等;8．如果使用安全模式和其他高级启动选项都无法正常启动windows,那么可以考虑使用“恢复控制台”;9．管理员需要在平时定期制作“ASR备份”和“AsR软盘”;当系统出问题时,可以利用它们将系统还原到原来做“ASR备份”时的状态;六、补丁管理1.软件补丁是一种插入到软件中并能对运行中出现的软件错误进行修改的程序编码,往往是在漏洞被发现后由软件开发商开发和发布的;2.补丁管理具有的特点：及时性、严密性的持续性;是微软公司推出的用于局域网内计算机有关操作系统、应用软件等补丁管理的一种服务器软件; ‘4．WSUS服务解决问题的思路是：管理员利用WSUS服务器从微软公司的更新网站下载补丁,然后再发布给内网用户;这样既能降低网络带宽流量,将补丁下载的数据量降为最低：又能让补丁置于管理员的控制之下,只有经过管理员审核后,同意发放补丁,用户才可以安装补丁;5．目前,WSUS 3．0SPl提供了对微软25个产品和9个分类的更新;6．安全更新’’是针对特定产品而广泛发行的修复程序,用于解决产品的安全漏洞；“更新程序’’是针对特定产品广泛发行的修复程序,用于解决与安全无关的非关键性缺陷；“关键更新程序’’是针对特定产品广泛发行的修复程序,用于解决与安全无关的关键性缺陷：“Service Pack,,是自产品发行以来创建的所有修补程序、安全更新、更新程序、关键更新程序等的集合;7．WSUS服务支持微软公司的绝大多数操作系统产品和应用程序产品的补丁部署;8．WSUS服务支持为特定的计算机或计算机组定制~t-q-的分发;9．管理员审批补丁的方式有：手动审批和自动审批;10．WSUS服务的部署方案主要有：单服务器方案和链式方案;七、性能监视1．网络管理员需要经常对网络系统的各方面性能进行监视,一旦网络的某方面性能出现了下降,需要及时找到原因并提出对策,从而使网络始终处于最佳工作状态;2．网络的性能,在很大程度上是由网络中服务器的性能决定的;对服务器的性能进行监视、使之稳定高效地提供服务,是管理员的重要工作职责;3．在基于window8 Server 2003的服务器上,用于监视服务器性能的工具主要有：事件查看器、任务管理器、系统监视器、计数器日志、警报;4．性能监视的目的是为了发现问题和解决问题;为此,一方面需要对采集的数据进行仔细分析,另一方面还要凭借一定的经验和技巧进行判断;是一系列网络管理规范的集合,包括：协议、数据结构的定义和一些相关概念;6.目前,SNMP已成为网络管理领域中事实上的工业标准,绝大多数网络管理系统和平台都是基于snmp的;网络管理系统通常由3部分组成：NMS,SNMP Agent和网络设置;八.网络故障诊断与排除1．一般而言,网络故障主要分为物理类故障和逻辑类故障两大类;2．物理类故障一般是指线路或设备出现的物理性问题;3．逻辑类故障一般是指由于安装错误、配置错误、病毒、恶意攻击等原因而导致的各种软件或服务的工作异常和故障;4．网络敌障诊断是以网络原理、网络配置和网络运行的知识为基础,从故障现象入手,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源并排除故障,恢复网络正常运行的过程;5．常用的网络测试工具有：数字电压表、时间域反射计、示波器、网络测试仪、电缆测试议、协议分析仪和网络管理软件等;6;基本的网l络测试命令有；Ping命令、Tracert命令、show命令和Debug命令等;7．网络故障检测与分析流程：描述故障现象、收集可能的故障原因信息、建立诊断计划、故障分析、事后记录和总结;。

使用域组策略/脚本统一配置防火墙目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置；统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法；1 域组策略统一配置防火墙使用域管理员登录域控制器，打开“管理工具>组策略管理”；在目标组织单位右击，新建GPO；1.1 禁用客户端防火墙1.1.1 域策略配置右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务；结果如下；1.1.2 查看客户端结果重启XP客户端查看结果重启Win7客户端查看结果1.2 开放客户端防火墙端口（注：首先将上面组策略中的系统服务设置还原在进行下一步的配置）1.2.1 域策略配置右击目标GPO选择编辑，选择“ 计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；组策略设置描述Windows 防火墙: 保护所有网络连接用于指定所有网络连接都已启用Windows 防火墙。

Windows 防火墙: 不允许例外用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。

Windows 防火墙: 定义程序例外用于通过应用程序文件名定义已添加到例外列表的通信。

Windows 防火墙: 允许本地程序例外用于启用程序例外的本地配置。

在规模比较大的网络环境里面，为了对服务器和客户机上的软件、系统补丁进行集中统一的管理，我们可能会用到SUS、WSUS、SMS等。

SUS、WSUS管理系统更新，不在本文讨论，请参考其它相关技术文档。

虽然SMS功能较强大，兼容性好，绝大多数应用软件都可以用它来管理，但是它比较复杂，实现起来要考虑的问题也比较多。

如果要部署的应用程序不多不十分复杂的话，其实我们还是可以回归到比较原始的技术：利用GPO实现软件设置•分发软件•修复软件•删除软件•升级软件优点：易实现缺点：功能简单、兼容性差（只能分发winodows安装程序包——.msi，exe封装的程序安装包要用Advanced Installer重新封装成msi文件）实现：前提是熟悉Winodows Server活动目录的基本管理，理解组策略，熟悉通过AD部署组策略一、获取要分发的软件1.PNG如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用，但都是exe 封装的安装包。

因为通过组策略只能够分发msi封装的程序安装包，所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包：1、运行Advanced Installer，打开新建工程向导，按向导做2repa_comfirm.PNG选择“语言”、“重新包装安装”——>“确定”2、按向导提示，关掉真正运行的其它程序，下一步3.PNG3、选中捕获新的安装4.PNG4、指定要重新包装的源程序，并设置名称、版本等信息6.PNG5、如图，选中新的系统捕获7.PNG6、指定“安装捕获配置文件”保存路径，8.PNG其它默认下一步，“确定”：9.PNG7、记录当前系统状态，以便后面记录安装源程序后系统的变化10.PNG8、安装一遍源程序11.PNG9、Advanced Installer会把源程序安装后系统的变化记下，“完成”，“导入”12.PNG10、接下来设置重新封装后，msi文件保存目录（这里指定的是D:\MSI）和文件名，如图中123步骤13.PNG 过程：14.PNG11、完成，确定后D:\MSI下就有重新包装后的msi安装包了，如下图15.PNG二、创建软件分发点（一共享文件夹）1、如图，在用来存放分发软件的服务器上创建一共享文件夹D:\software，域用户有读取的权限就够了共享权限：16.0.PNG NTFS权限：16.1.PNG2、在分发点用不同的子文件夹存放要分发的不同安装文件17.PNG3、使用管理安装选项命令Msiexec设置软件包在客户机安装的相关选项：语法msiexec /a Package参数/a (或-a) #应用管理安装选项。

Window操作系统局域网内补丁自动分发解决方案武汉超特网络技术有限公司2012年4月目录1WINDOWS补丁问题现状 (3)2解决思路 (3)3WSUS安装 (4)3.1安装前的准备工作 (5)3.1.1IIS6.0 (5)3.1.2BITS20 (6) Framework 1.1 SP1 (7)3.1.4磁盘空间 (8)3.1.5数据库 (8)3.2安装WSUS2.0+SP1 (9)3.3配置WSUS2.0 (14)3.4同步WSUS2.0 (18)4利用WSUS进行补丁分发 (21)4.1WSUS分组管理 (22)4.2组策略或注册表设置 (25)4.2.1用组策略设置 (25)4.2.2用注册表设置 (29)4.3WSUS更新审批 (31)4.3.1手工批准更新 (32)4.3.2自动批准安装 (35)5链式WSUS部署 (43)5.1启用WSUS服务器间的身份验证 (45)5.2创建允许的下游WSUS服务器列表 (46)5.3配置IIS (47)6物理隔离内网WSUS部署方法 (49)6.1内部网络WSUS部署方案 (49)6.1.1WSUS服务的一般部署方案 (49)6.1.2内部网络中WSUS的安装部署 (50)6.2内网WSUS服务器的首次更新 (50)6.2.1WSUS服务器中更新的数据构成 (50)6.2.2内部网络中WSUS更新的基本方法 (50)6.3内部网络中WSUS持续更新方案的实现与优化 (51)6.3.1改进内部网络中WSUS更新方案的原因 (51)6.3.2实现内部网络中WSUS更新优化的具体方法 (51)6.3.3持续更新的关键——新增更新补丁的自动提取 (52)6.4总结 (53)1windows补丁问题现状目前在企业内网中，90%以上的桌面操作系统以及大部分的服务器都使用了微软公司的产品。

微软产品素以界面友好，功能强大而著称，但同时也以补丁泛滥而令管理员头疼。