组策略实现文件夹重定向
AD中的组策略
将软件指派给用户
指派--------------------用户
当将一个软件通过组策略的GPO指派给域内的 用户后,该软件不会自动安装到用户的计算机内 ,用户需要通过以下两种方式来安装:
一、开始-----程序-----双击该文件的快捷方式 二、利用文件启动
注:和发布不同的是,这里不会显示“未知文件 类型”
27
软件安装中经常遇到的文件类型
转换(mst):也叫做修改,这些文件在分配或发布时自定 义windows安装程序包。
修补程序(msp):错误修复,Service pack以及类似文 件可以用这种形式分发,修补程序不应该用于主要的修 改,其作用限制如下:
不能删除组件或功能 不能更改产品代码 不能删除或更改快捷方式、文件或注册表项
应用上很灵活,自动安装/修复 删除软件时非常干净彻底
22
组件及角色
组件
角色
“组策略”管理单元的软件安装扩 展 WINDOWS安装程序
控制面板中的“添加/删除程序”
管理员用它来管理软件
在WINDOWS安装程序文件中安装 软件包 用户在自己的计算机用它管理软件
23
任务二 分发软件
任务
准备好Windows Installer package(.msi及源文件)
优先级:低 → 高
组策略的处理: 系统先处理“计算机配置”再处理“用户配置”
组策略对象(GPO):用来存贮组策略配置信息
16
站点
域
OU
域 GPO
低层次从高层次继承 GPO的设置
17
组策略继承
Domain Payroll Computers Users
13
任务四、利用组策略部署软件
windows server、文件夹重定向
a 的配置文件夹中没有(My)Documents文件 的配置文件夹中没有(My)Documents文件 文件…
A用户的“我的文档”属性 目标文件夹已重定 用户的“我的文档”属性—目标文件夹已重定 向…
常规—不占用空间(未在本地储存) 常规 不占用空间(未在本地储存)… 不占用空间
服务器端: 用户“我的文档” 服务器端:Aredir 文件夹内有 a 用户“我的文档”的相应内 重定向成功! 容…重定向成功! 重定向成功
4、 对比用户:b 对比用户:
用户登录客户机… b 用户登录客户机
在“我的文档”内添加内容…存储在本地 我的文档”内添加内容 存储在本地
占用空间12KB 本地存储 占用空间12KB…本地存储 12KB
文件夹…本地存储 B的配置文件夹内有My Documents文件夹 本地存储 的配置文件夹内有My Documents文件夹
属性—目标 设置 高级(按组定位)--添加组 添加组… 属性 目标—设置 高级(按组定位)--添加组 目标 设置—高级
用户) 添加 aa 组(内有 a 用户)…
重定向文件夹位置… 重定向文件夹位置
添加完成… 添加完成
属性—设置 取消专有权 便于管理员查看) 属性 设置—取消专有权(便于管理员查看)… 设置 动目录 域内建组织单元test—其内建用 域内建组织单元test 域控制器:活动目录—域内建组织单元test 其内建用 aa, 户a、b 和组 aa,并把 a 用户加入到组 aa
在C盘建“重定向文件夹”:Aredir 盘建“重定向文件夹” Aredir…
2、创建“文件夹重定向”组策略对象 创建“文件夹重定向”
完成
文件夹重定向”用户: 3、 “文件夹重定向”用户:a
网管经验共享:组策略相关故障排错经验谈
网管经验共享:组策略相关故障排错经验谈对于网络管理员来讲,关于组策略的问题可能听到最多的抱怨就是:“我设置了一个策略,为什么它不生效?”。
对于一些比较大的网络环境,组策略可以减轻网管人员的管理工作,但其出问题的几率还是比较大的。
这一方面是由于我们在日常操作时不慎引起的,另一方面是由于策略相互影响而造成最终的结果与设想不一致。
组策略应用要点 这里,笔者给出几点微软不推荐的做法: 1.不要删除两条默认的策略(默认域策略和默认域控制器策略),很多问题的发生都是由删除这两条默认策略而引起的。
而且要使用组策略管理控制台(GPMC)工具备份这两条默认策略,用于将来还原。
如果直接通过GPMC删除默认策略时,我们会发现是行不通的,但是,稍有经验的读者知道如何删除它们。
既然是一个不推荐的做法,希望大家不要删除它们。
2.组策略是不能够链接在用户组上的。
有很多初次接触活动目录的管理员,经常设想将组策略生效于某一用户组,这是行不通的。
组策略不是为用户组设定的策略,而是一组策略的集合,只能链接在站点、组织单元和域上面。
3.组策略的生效问题 (1)生效顺序 正常生效顺序:本地策略→站点策略→域策略→父OU策略→子OU 策略。
我们使用时,在出现登录对话框前,会有“应用安全策略”的提示,这也就是本地策略生效的过程。
发生冲突时,最新的策略设置会覆盖其他设置。
计算机设置高于用户设置(即使用户设置是后设置的)。
父容器组策略设置与子容器设置发生冲突,子容器中组策略的设置将最终生效。
同一容器的多个策略按照优先权顺序进行生效。
所以,当在一个容器上面链了多个GPO时,不妨仔细看看它们的顺序,很有可能问题是顺序不当引起的。
(2)生效时间 默认情况下,非域控制器的计算机每90分钟刷新一次策略,其中含有随机的30分钟时间偏移量,时间偏移量保证了多个计算机不会同时连接到同一个域控制器上面。
域控制器每5分钟刷新一次,保证了紧急更新的组策略设置(安全性设置)能够得到及时执行,可以在 “域控制器组策略重新刷新时间间隔”里面更改(如图1)。
文件夹重定向
一、什么是文件夹重定向?它有什么优点?利用文件夹重定向,系统管理员可以将本地用户配置文件中的My Documents、桌面、【开始】菜单以及Applicaton Data 这四个文件夹移动到网络上。
举例来说,如果将某个用户的My Documents文件夹移动到网络上,则当他保存文件到【我的文档】时,数据便不再保存在本地,而是保存到网络位置上。
这样做有什么好处呢?1.对用户来说,这个过程却是透明的,他在桌面上仍然可以看到【我的文档】的图标,仿佛My Documents文件夹还是在本地一样。
将文件夹重定向到网络上之后,用户可以从域中任何一台成员服务器上访问到相同的My Documents、桌面、【开始】菜单以及Applicaton Data 文件夹。
同时,如果在企业中帮员工重装系统,就会大大降低系统管理员的备份数据的时间。
2.而对系统管理员而言,可以统一管理和维护用户的数据。
二、怎么实现文件夹的重定向?文件夹重定向可以按照所属的组将OU中用户的“我的文档”文件夹定向到不同的位置;也可以将所有组用户的“我的文档”文件夹定向到同一位置。
那么,我就以基本设置为例,将域中每个文件夹重定向到同一位置:\\192.168.1.1\share$\,其中192.168.1.1是DC的IP,前面的top图中我已经说明。
share$是前面建立的共享文件夹。
打开默认域策略,在【文件夹重定向】节点下右击【我的文档】,在弹出的菜单中选择【属性】,在【目标】选项卡中,设置【基本-将每个用户的文件夹重定向到同一个位置】。
在目标文件夹位置一栏中设置【在根目录路径下为每一用户创建一个文件夹】,根路径处输入为:\\192.168.1.9\share$\。
则对任意用户user来说,【我的文档】文件夹就被重定向到了\\192.168.1.1\share$\user\我的文档。
整个设置请看图6:在【设置】选项卡中,全部保留默认设置要设置文件夹重定向策略,请定位到组策略中【用户配置】|【Windows设置】|【文件夹重定向】中。
WindowsServer2008组策略设置
WindowsServer2008组策略设置详解1、组策略中包含两部分:1 计算机配置:针对计算机的配置,只在计算机上生效。
计算机启动的时候应用,在出现登录界面前。
2 用户配置:针对用户的配置,只在所有用户帐户上生效。
用户登录后应用。
2、根据应用范围将组策略分为三类:1 域的组策略:设置对于整个域都生效。
在“AD用户和计算机”中,右击域名-〉属性-〉组策略。
2 OU的组策略:设置对于这个的OU生效。
在“AD用户和计算机”中,右击OU名-〉属性-〉组策略。
3 站点的组策略:设置对于这个站点生效。
在“AD站点和服务”中,右击站点名-〉属性-〉组策略。
注意:“运行”中键入gpedit.msc,启动的是本地组策略,我们要的是“域组策略”!所以必须右击“AD 用户和计算机”中才能进入。
3、组策略的执行顺序:1 站点-〉域-〉组织单元(OU)2 计算机配置-〉用户配置4、组策略的冲突:1 在不同组策略中的同一项目的设置相反,就是组策略冲突。
如:在站点组策略中,“隐藏桌面上的网上邻居图标”设置为“启用”,而域的组策略上设置的是“禁用”。
再如:在域的组策略中“密码长度”设置为“7”,而OU的组策略中设置的是“6”。
2 冲突的结果:后执行的是结果。
5、组策略中的设置内容:1 软件安装:自动安装应用软件。
计算机配置和用户配置下都有。
准备工作:软件的源安装文件,在安装文件中要有.msi为后缀的可执行文件。
将软件的源安装文件放到一个共享文件夹中。
(网络路径)A、已发行:由用户决定是否安装。
如果软件包是已发行方式,用户登录后,系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。
在计算机配置中不能实现。
B、已指派:强制性安装,自动安装。
2 WINDOWS设置:A、计算机配置:脚本(启动和关机),安全设置。
B、用户配置:IE维护,脚本(登录和注销),安全设置(密钥),远程安装服务(为客户机安装WIN2000 PRO),文件夹重定向(把用户的一些重要文件夹重定向到文件服务器中)。
第6章 组策略管理
6.2.6 文件夹重定向策略
文件夹重定向是利用组策略将域中某些用户的特殊文 件夹重定向到某一台计算机上的指定位置上。这些特殊文 件夹主要包括:Application data(此文件夹包含用户在应 用程序内的专属数据,如个人设置数据)、桌面、我的文 档和[开始]菜单。 具体操作见教材。
6.3 实验操作2:利用组策略在网络中部署软件
.自动修复和删除软件 在一个软件被指派或发布并被安装后,如果此软件在 使用中出现某分文件损坏,或用户不小心删除了程序文件, 系统会探测到该现象并自动进行修复或重新安装该软件。 另外,如果管理员要删除已指派或发布给域内用户或计算 机的软件,可以将该软件从GPO内已发布或指派的软件清 单中删除,并设置用户或计算机在下次登录时自动将这个 软件删除就可以了。 详细操作过程见教材。
6.1.3 组策略应用中的一些概念
1. 计算机配置和用户配置 组策略中包含“计算机配置”和“用户配置”两部分。 其中,计算机配置用于当启动计算机时,系统就会根据已 设置的计算机配置内容来配置计算机的环境。 2. 组策略对象 组策略是通过“组策略对象”(Group Policy Object, GPO)来设定的,只要将GPO链接到指定的站点、域或 组织单位(OU),该GPO内的设定策略就会作用于该站 点、域或OU内的所有用户和计算机。
3. 证书规则 软件限制策略可以通过“签署证书”来标识软件。根 据“证书”系统的相关规划,允许或拒绝用户运行软件。 需要说明的是,“证书规则”只适用于.msi软件与脚 本(Scripts),而不适用于.exe和.dll程序。 4. 路径规则 软件限制策略也可以利用部署软件时所在的路径来标 识和辨别软件。例如,指定用户可以运行位于某个文件夹 内的软件,但该软件移动到其他文件夹时将不会受到软件 策略的约束。路径中可以使用环境变量,如%windir%、 %temp%等。另外,还可以通过“注册表”来辨别和标识 软件,即根据该软件在注册表中所记录的存储位置来标识 和辨别软件。
windows系统安全10,11,12(组策略,安全配置和安全审计)
★
1 Windows设置(了解)
脚本:含有计算机特殊脚本的信息
启动和关闭脚本存在于计算机配置节点中 登录和注销脚本存在于用户配置节点中
安全设置:
含有登录到计算机的所有用户的安全设置
目录重定向:
可以重定向My Documents、应用数据桌面及开始菜单等文件夹到 网络上一个可选的位置。
链接到站点、域或组织单元(不包括本地)的任何一个 组策略对象都可以使用该选项,来防止随后处理的组策 略对象覆盖该组策略对象中的所有策略设置。 如果有多个组策略对象设置为”禁止替代“时,那么就 会优先采用在活动目录层次结构中处于更高层的那一个。
2 禁用部分配置 (组策略对象GPO属性上设置)
GPO可以禁用其用户设置,计算机设置或所有设 置,默认情况下,在GPO上,两者都不禁用。
组策略与活动目录的结合
如果组策略与活动目录联合使用,则可实现策略的集中 与分散管理,适应从小到大的各种规模。 组策略管理单元提供了管理组策略的集成工具,并提供 了对“AD用户和计算机““AD站点和服务 插件等 MMC管理工具的扩展。”
组策略的设置对象
Domain GPO Site GPO
组策略的实现
将GPO链接到指定的站点、域或组织单元
“AD用户和计算机管理控制台””选择AD对象”“属 性””组策略””添加”
禁用组策略的计算机配置或用户配置
可禁用组策略中的计算机配置或者用户配置
打开”组策略管理单元”选择组策略对象”属 性””常规””禁用”
指定组策略对象的特殊应用顺序和继承(1)
管理模扳主要修改以下两个注册表树的值
域用户个人文件夹批量创建
域用户个人文件夹批量创建如何为每个domain用户自动建立一个文件夹?公司新购买了一台服务器用作文件服务器,现在要为每一个域用户建立一个文件夹,以他们的full name或是logon name命名均可,同时设置权限只能是自己能读写,他人无法访问。
域是WinSrv2003+SP2, 有200多用户,手工建立任务量太大,请问有什么办法可以更快速的实现吗?回答:根据您的描述,我对这个问题的理解是:您希望在文件服务器上为用户自动创建以每个用户的用户名为文件名的文件夹,并且不允许其他的用户对其访问。
根据我的经验和研究,您可以通过组策略中的文件夹重定向来实现这个需求,具体步骤如下:1. 用域管理员账户登录文件服务器,并在磁盘创建一个共享文件夹,我们这里比方说叫 file2. 将file这个文件夹的的everyone的共享权限和安全权限都设置为完全控制3. 用域管理员账户登录到域控您看到的文章来自活动目录seo /c1404552/4. 编辑默认域策略,找到用户配置-windows设置-文件夹重定向-我的文档5. 在右面的空白区域右键属性,选中,设置下拉框的“基本-将每个人的文件夹重定向到同一个位置”6. 在“目标文件夹位置”中选择“在跟目录下为每一个用户创建一个文件夹”7. 在跟路径上键入,我们刚刚共享的那个file文件夹的UNC路径(一定要UNC路径如\\fileserver\file)8. 点击设置,在“策略删除”中选择“删除策略时将文件夹移回本地用户配置文件位置”配置好之后,客户端只需要把希望存储的数据方在本机的“我的文档”中,他的文件就会自动的上传到文件服务器上file文件下以该用户名称命名的文件夹中,并且该文件夹不允许任何(包括管理员在内)其他的用户访问。
您如果取消的该策略,原先在文件服务器上的存储文件会自动的返还到各自用户的“我的文档中”Jason Hou 侯铮微软全球技术支持中心这里有个批量自动创建个人文件夹的脚本,您可以参考您看到的文章来自活动目录seo/c1404552/On Error Resume NextConst ADS_SCOPE_SUBTREE = 2Set objConnection = CreateObject("ADODB.Connection")Set objCommand = CreateObject("mand")objConnection.Provider = "ADsDSOObject"objConnection.Open "Active Directory Provider"Set objCommand.ActiveConnection = objConnectionobjCommand.Properties("Page Size") = 1000objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREEmandText = _"SELECT givenName, sn FROM 'LDAP://DC=fabrikam,DC=com' WHERE objectCategory='user'" Set objRecordSet = objCommand.ExecuteSet objFSO = CreateObject("Scripting.FileSystemObject")objRecordSet.MoveFirstDo Until objRecordSet.EOFstrInitial = Left(objRecordSet.Fields("givenName").Value, 1)strFolderName = "C:\Public\" & strInitial & objRecordSet.Fields("sn").ValueSet objFolder = objFSO.CreateFolder(strFolderName)objRecordSet.MoveNextLoop---hengyun。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过使用组策略,您可以使用“文件夹重定向”,将某些特殊文件夹重定向到网络位置。
特殊文件夹是指位于“Documents and Settings”下面的文件夹,如“我的文档”和“图片收藏”文件夹。
在组策略中,“文件夹重定向”位于“组策略对象编辑器”的控制台树中的“用户配置”下面。
“文件夹重定向”有几个基本选项。
每个基本选项都有对应的高级版本。
高级版本允许基于安全组成员身份进行重定向,以提供更精细的控制。
重定向“我的文档”文件夹的优点重定向任何文件夹都具有下面的某些优点,但重定向“我的文档”文件夹可能会特别有利,因为随时间的推移该文件夹会变得很大。
•在使用漫游用户配置文件时,只有“我的文档”文件夹的网络路径属于漫游用户配置文件的一部分,而“我的文档”文件夹并不属于。
因此,用户每次登录或注销时,不需要在客户端计算机和服务器之间来回复制“我的文档”文件夹内容,而且登录或注销过程可能比 Windows NT 4.0 要快得多。
•即使登录到网络中的不同计算机上,用户也始终可以访问自己的文档。
•即使用户没有连接到网络上,用户仍可以通过“脱机文件”技术访问“我的文档”。
这对于使用便携式计算机的用户尤其有用。
•可以将备份共享网络文件夹中存储的数据作为日常系统管理的一部分。
这样做会比较安全,因为这不需要用户执行任何操作。
•作为管理员,您可以使用组策略来设置磁盘配额,从而限制用户的特殊文件夹所占用的空间大小。
•可以将用户专有数据从该用户本地计算机上保存操作系统文件的硬盘重定
向到另一个硬盘上。
通过这样做,在重新安装操作系统时,该用户的数据会更安全一些。
注意:在创建共享文件夹重定向目录时,请将访问权限只授予需要访问的用户。
重定向的文件夹可能包含个人信息,如机密文档和加密文件系统 (EFS) 证书;因此,应采取保护措施以防止对该共享文件进行未经授权的访问。
仅将该共享文件夹的访问权限授予那些需要访问的用户。
您也可以为需要特定共享文件夹访问权限的用户创建一个安全组,并仅限这些用户来访问该文件夹。
注意:在创建共享文件夹时,可在共享名称后加美元符号 ($) 将其隐藏起来。
这样,一般浏览者就看不到该共享文件夹了,而且在“网上邻居”中也看不到它。
“文件夹重定向”和“脱机文件”“脱机文件”技术适用于包含用户可能想脱机使用的文
档或数据的任何已安装或映射驱动器。
“脱机文件”不依赖于“文件夹重定向”。
它是在“文件夹重定向”管理单元之外的共享网络服务器上设置和配置的。
即使没有连接到网络上(例如,使用便携式计算机或路由器出现故障),用户也可以通过“脱机文件”完成自己的工作。
实验步骤:
接“实现批量添加用户与计算机到服务器中”后,此时AD中已经批量导入了用户和计算机,接下来
我们就针对这些用户来创建“文件夹重定向”。
首先在服务器中或域中的文件服务器上创建一个共享文件夹:software
然后进入到“AD用户和计算机”中针对于我们批量导入的用户进行配置
打开我们创建的 xm 组织单位选取我们批量导入的用户并右键选择“属性”,在“多个栏目属性”框中我们选择“配置文件”
选择“主文件夹”复选框并点击“连接”,在盘符的下拉菜单中选择比较靠后的盘符,在到目标地址中输入我们共享的路径并为每个用户创建一个独立的文件夹。
路径:\\服务器IP地址\共享文件夹名称\%UserName%
点击应用
确定后到software文件夹地下查看,我们会发现系统已经自动的为每个用户创建一个文件夹。
好了,完成了以上的基础配置接下来我们就可以开始进行组策略的配置了,
在组策略管理中选择XM ,在xm右键选择“在这个域中创建GPO并在此处创建连接”
在新建的GPO中输入易于理解的名称
在新建的策略上右键点击编辑该策略
进入组策略编辑器后依次选择用户配置——windows设置——文件夹重定向——文档
在文档图标上右键选择“属性” 进行如下配置:
目标|
设置:选择基本—将每个人的文件夹重定向到同一位置目标文件夹位置:重定向到用户的主目录
在这里需要注意在设置选项卡中考虑到域中的客户端的多元化,所以在这里必须选择该项
好了策略编辑完毕,不要忘记了属性组策略哦! - -|||命令忘记了
在Dos下输入: GPUpdate /force
好了,可以测试一下我们配置的效果,开启一台准备好的XP虚拟机,这台虚拟机已经加入到
域中。
使用我们批量导入的用户名登入到域,这时候你会发现登入到域的时候系统在应用个人设置时停留了时间比平时久,这是因为正在加载系统组策略中的个人配置。
进入系统后,你会发现我的文档图标与以前的不一样
此时我的文档中的文件时保持在服务器上的共享文档中,我们回到服务器上去查看,看看是不是这样的情况
17.png(368 KB, 下载次数: 0)
下载附件
2014-4-13 14:40 上传
OK 到这里文件夹重定向实验完毕!!!!。