组策略的部署规划

组策略的部署规划中的注意事项：

合理的规划规则设置和GPO对应关系，尽量避免把所有设置放到一个GPO中，举例如下图：

组策略的企业实战

计算机配置

1 – 销售部电脑需要通过组策略进行MSI软件批量推送安装

注：选择所需部署的软件，只能部署MSI格式的应用程序，EXE格式需要进行重新封装为MSI格式才能部署（SCCM支持推送EXE软件）

主域服务器D盘新建Share共享文件夹，把需要推送的MBSA 2.1.msi软件拷贝进去，设置everyone权限为只读

确保客户端能正常访问

打开「服务器管理器」-「工具」-「组策略管理」，依次展开到「组策略对象」，右击选择「新建」创建一个新的「软件安装」组策略对象，在所需部署策略的OU（SM）上右键选择“链接现有GPO”，选择「Software Installation」；右击「Software Installation」-「编辑」- 计算机配置 – 软件安装 – 新建 – 数据包，添加MBSA 2.1.msi安装包

注：路径不能选择本地路径，要选择网络路径

点击「已分配」

完成策略部署后，为了让客户机策略立刻生效，打开命令窗口输入「gpupdate /force」进行组策略强制更新，输入Y重新启动客户机，登陆后即可看到MBSA已安装

MBSA 2.1版本升级MBSA 2.3版本

完成策略部署后，为了让客户机策略立刻生效，打开命令窗口输入「gpupdate /force」进行组策略强制更新，输入Y重新启动客户机，登陆后即可看到MBSA 2.3已安装

删除推送安装的MBSA软件

删除MBSA 2.3和MBSA 2.1数据包

选择「立即从用户和计算机中卸载软件」

完成策略部署后，为了让客户机策略立刻生效，打开命令窗口输入「gpupdate /force」进行组策略强制更新，输入Y重新启动客户机，登陆后即可看到MBSA软件已被卸载

2 – 销售部电脑需要通过组策略限制用户运行与安装软件

计算机配置

AppLocker即「应用程序控制策略」，可用来对可执行程序、安装程序和脚本进行控制，是一款用于替代「软件限制策略」功能的全新系统管理工具

AppLocker可以针对不同类别的程序来设置不同的规则，共分为以下5大类别：

■可执行文件规则：适用于.exe .com程序

■Windows安装程序规则：适用于.msi .msp .mst程序

■脚本规则：适用于.ps1 .bat .cmd .vbs .js程序

■已封装的应用程序规则：适用于.appx程序（windows应用商店的程序）

■DLL规则：适用于.dll .ocx程序

注：一旦创建规则后，凡是未在规则内的执行文件都会被阻止，因此必须创建默认规则，这些默认规则允许普通用户执行Program Files与Windows文件夹内的所有程序，允许系统管理员执行所有程序

注：经过「小陈家园」测试，AppLocker仅适用于「Windows 10企业版和旗舰版」，点击进入微软使用AppLock要求

设置规则前必须确认「Application Identity」服务设置为自动启动，只有该服务启动，「Applocker」设置才能生效

创建「Restricted Software」组策略对象并链接SM组织单元，通过组策略开启客户机「Application Identity」服务

打开「组策略管理编辑器」，在左侧的窗格中依次定位到“计算机配置” →“Windows 设置”→“安全设置”→“应用程序控制”，可以看到AppLocker组策略配置项

创建规则，右击「可执行规则」-「创建新规则」

保持默认

选择「拒绝」，保持默认「Everyone」

选择「发布者」

点击「浏览」，找到QQ安装包

保持默认

由于刚开始未创建默认规则，提示需要创建，选择「是」

注：一旦创建规则后，凡是未列在规则内的执行文件都会被阻止，如果不创建默认规则，则系统所有应用程序无法打开，导致Windows无法正常启动操作系统

右击「AppLocker」，选择「属性」，勾选可执行规则为「已配置」

完成策略部署后，为了让客户机策略立刻生效，打开命令窗口输入「gpupdate /force」进行组策略强制更新，双击QQ安装包进行安装，提示「系统管理员已阻止这个应用」

注：一旦创建规则后，凡是未列在规则内的执行文件都会被阻止，所以客户端桌面上360浏览器无法安装，需要在「可执行规则」中创建允许规则

完成策略部署后，为了让客户机策略立刻生效，打开命令窗口输入「gpupdate /force」进行组策略强制更新，可正常安装360浏览器

注：虽然在可执行规则处创建规则，但是已封装的应用程序也会被阻止「例如应用商店，Edge浏览器等」，因此还需要在「封装应用规则」处允许运行签名的封装应用，只要通过「创建默认规则」来开放即可：选择「封装应用规则」-「创建默认规则」，此默认规则会开放所有签名的封装应用

右击「AppLocker」，选择「属性」，勾选封装应用规则为「已配置」

完成策略部署后，为了让客户机策略立刻生效，打开命令窗口输入「gpupdate /force」进行组策略强制更新，可正常打开应用商店、Edge浏览器等

3 – 销售部用户需要通过组策略进行桌面和我的文档重定向

用户配置

桌面数据放到D:\Data

我的文档数据放到\\cz669dc1\Data

企业应用环境中，将用户文件夹重定向到本地计算机的其他逻辑磁盘中，即使重新安装操作系统，也不会丢失个人数据；最佳做法还是建议将文件夹重定向到服务器中，即使客户端计算机硬盘损坏也不会造成数据丢失

创建「Folder Redirection」组策略对象并链接SM组织单元，通过组策略「用户配置」，修改桌面和文档的重定向路径

完成策略部署后，为了让客户机策略立刻生效，打开命令窗口输入「gpupdate /force」进行组策略强制更新，桌面和文档文件夹路径已重定向

4 – 销售部用户需要通过组策略统一桌面墙纸

用户配置

创建「Desktop」组策略对象并链接SM组织单元，通过组策略「用户配置」-「桌面墙纸」修改客户端桌面墙纸

点击已启用，修改墙纸名称路径为服务器共享背景图片路径：\\cz669dc1\Data\BJ.jpg

完成策略部署后，为了让客户机策略立刻生效，打开命令窗口输入「gpupdate /force」进行组策略强制更新，桌面背景已更新

5 – 销售部用户需要通过组策略映射网络驱动器

用户配置

目的：让所有位于组织单位“销售部”内的用户在登录时，都能自动将共享文件夹\\cz669dc1\SM映射为本地磁盘Z

在服务器共享设置好权限的SM文件夹，创建「映射网络驱动器」组策略对象并链接SM组织单元，通过组策略「用户配置」-「驱动器映射」新建「映射驱动器」

在「位置」输入共享文件夹的路径\\cz669dc1\SM，将共享文件夹映射为Z盘

常用选项勾选「在登录用户的安全上下文中运行(用户策略选项)」

完成策略部署后，为了让客户机策略立刻生效，打开命令窗口输入「gpupdate /force」进行组策略强制更新，已映射Z盘

6 – 销售部用户需要通过组策略禁用移动存储U盘

用户配置

目的：为了避免病毒通过U盘传入内网，为了企业的网络安全，禁用客户端U盘使用

创建「禁用移动存储」组策略对象并链接SM组织单元，通过组策略「用户配置」-「可移动存储访问」，启用「所有可移动存储类：拒绝所有权限」

完成策略部署后，为了让客户机策略立刻生效，打开命令窗口输入「gpupdate /force」进行组策略强制更新，访问U盘「提示拒绝访问」