文件夹重定向组策略

㈠ 用户配置文件的重定向

文件夹重定向提供了许多好处：
·提高了漫游用户配置文件的性能。因为只有一部分文档需要复制，所以当从服务器复制用户配置文件时，性能得到了提高。每次用户登录时，并不是用户配置文件中的所有数据都被传输到桌面--只有用户需要的数据才传送。
·储存在网络服务器上的数据可以作为系统管理日程的一部分被备份出来。这样就比较安全，并且在用户端不需要做任何活动。
·指定给一个用户的数据可以从装有操作系统文件的硬盘重定向到用户计算机上的一个不同的硬盘。如果操作系统需要重新安装，这样做就保护了用户的数据。
－即使当用户登录到不同的计算机时，在网络中的任何计算机上都可得到相同的文档。
－管理员可以使用组策略来设置磁盘配额，限制用户文件夹占用空间的大小。 重定向文件夹的过程有五个步骤：
1、根据在登录时发生改变的策略，确定要重定向的文件夹。
2、确定希望重定向的位置并验证访问权限。
3、如果文件夹不存在：创建文件夹，设置访问控制列表（ACL）。
4、如果文件夹存在，检查ACL及所有权。
5、如果一切就绪，移动内容。
文件夹重定向失败仅仅影响以文件夹为基础的文件夹重定向扩展。如果你预先创建了文件夹，而不是让文件夹重定向扩展自动创建文件夹，则典型的错误包括：
--重定向到一个权限设置错误的文件夹。
--用户不是文件夹的所有者。
--目标不存在。
除了在应用程序事件日志中记录事件外，文件夹重定向还能提供了一个帮助解决故障的详细记录。为了给文件夹重定向创建一个详细的日志文件，请使用下面的注册表键值：
HKLM/S--ftware/Micr--s--ft/Wind--ws NT/CurrentVersi--n/Diagn--stics Set: Fdepl--yDebugLevel = Reg_DW--RD 0x0f
注意：日志文件可在%windir%/debug/userm--de/fdepl--y.l--g中找到。 文件夹重定向只能处理两个环境变量：%username%和%userpr--file%。其它环境变量，如：%l--g--nserver%、%h--medrive%和%h--mepath%将无法用文件夹重定向处理。
Wind--ws 2000不支持直接重定向到主目录，但是你可以使用完整的UNC路径来重定向到一个主目录。Wind--ws XP允许你将一个用户的My D--cuments文件夹重定向到他或她的主目录而不使用UNC路径，但是在Wind--ws 2000的客户端上应用到主目录的重定向策略可能会失败。
如果试图为将用户的文件夹重定向到他们的主目录，但是文件夹重定向失败了，提示一个错误信息：这个安全ID可能没有作为此目标的所有者被分配。 这种情况，默认情况下，如果重定向目标文件夹已经存在了，那么文件夹重定向就会检查这个用户是否是该文件夹的所有者。如果这个用户不是文件夹的所有者，则重定向就会失败，并伴随着事件ID 101：这个安全ID可能没有作为此目标的所有者被分配。文件夹重定向将其视为一个错误保护，以防止一个怀有恶意的用户出于不良目的而预先创建文件夹。
为了避免这个错误：
--不要预先创建文件夹，让文件夹重定向来为你创建文件夹。
--如果文件夹已经存在，并且其中还有数据，则在文件夹重定向对话框中的设置页上取消对将我的文档的排它权限授予用户复选框的选择。这就告诉文件夹重定向不做所有权检查，并且假定权限是合适的。如果你要这样做，就必须保证已经正确设置了权限。

㈡ 如何关闭注册表 文件路径重定向

1. 单击开始，指向程序，指向管理工具，然后单击Active Directory 用户和计算机。

2. 用鼠标右键单击域，然后单击属性。

3. 单击组策略选项卡，单击默认域策略，然后单击编辑。

4. 组策略在启动时，单击用户配置，单击Windows 设置，然后单击文件夹重定向。

5. 桌面文件夹中，用鼠标右键单击，然后单击属性。

6. 现在，您可以配置桌面文件夹的位置。在设置框中，单击高级-指定不同的用户组的位置，，然后单击添加。

7. 单击安全组成员身份框旁边的浏览按钮，然后单击域列表中的组。

8. 单击目标位置文件夹，然后到位于桌面文件夹的位置，使用 UNC 路径。

9. 单击设置选项卡。默认情况下，下面的设置启用了两种：
   启用时，授予用户对桌面的独占权限复选框设置权限文件夹为用户和系统的完全控制权限。如果您单击以清除复选框，不是更改该文件夹上的权限。

10. 启用时，移动到新位置的桌面内容复选框将内容移到新位置。如果您单击以清除复选框，然后内容仍保留在原处。

11. 在删除策略框中，单击保留策略被删除时的新位置中的文件夹，或回本地用户配置文件位置删除策略时将文件夹重定向。默认情况下，选择第一个选项。

12. 单击应用，单击确定，然后退出组策略编辑器

13. 注销管理员帐户，然后再登录。

㈢ 怎样使用组策略部署软件的操作步骤

在WIN2000以上，除了用户工作环境与计算机环境的设置外，组策略还提供了很强大的功能。列举组策略中的部分功能。
A、帐户策略的设置
B、本地策略的设置
C、脚本设置
D、用户工作环境的设置
E、软件的安装与删除。
F、文件夹的重定向。
□组策略概述
组策略可以针对站点、域和组织单位设置组策略。这些组策略存储在x:\WINNT\SYSVOL\sysvol\abc.com\Policies目录下。
组策略分“计算机配置”与“用户配置”两部分。
A、计算机配置：当计算机启动时，就会根据“计算机配置”的内容来设置计算机的环境。
B、用户配置：当用户登录时，就会根据“用户配置”的内容来设置用户的工作环境
注：本地组策略：存储在X:\WINNT\system32\GroupPolicy目录内。
一、组策略的应用顺序与规则：
不同组策略的应用顺序与规则：
1、本地组策略：
2、站点组策略：
3、域组策略：
4、组织单位的组策略：
默认，后应用的策略将覆盖以前的应用的策略。具体说明如下：
1、如果在高层容器内建立了一个组策略，但是并未在低层容器建立组策略，则低层容器会继承在高层容器内所建立的组策略。
2、如果另外在低层容器内建立了组策略，则低的组策略则要取代高层的组策略。
3、如果父容器未被设置组策略，则低层组策略则不会继承父层组策略。
4、如果父容器设置组策略，但是子容器内的组策略并未为设置。则会继承父组策略
二、阻止策略的继承
可以在子容器组策略内，通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置，也就是直接以子容顺的组策略为其设置。
三、强迫继承策略。
可以在父容器的组策略内，通过：“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置。
□组策略的对象
设置组策略设置的途径：
根据不同的计算机，可以在以下几位置的。“域安全策略”或“活动目录用户和计算机”“域控制安全策略”、“本地安全策略”。（均在“管理工具”内）。
以下利用“活动目录用户和计算机”来设置组策略。
开始——程序——管理工具——活动目录用户和计算机——选中“domain controllers”单击鼠标右键——属性——组策略（GPO）
一、更改组策略
让DOMAIN USERS组内的所有成员都具备“本地登录”的权限。设置步骤：
1、开始——程序——管理工具——活动目录用户和计算机——选中“DOMAIN CONTROLLERS”单击鼠标右键——属性——组策略。
2、请选定“default domain controllers policy”，然后单击“编辑”。
3、出现“组策略”窗口——计算机配置——WIN设置——安全设置——本地策略——用户权利指派——双击右则的“在本地登录”。
4、出现“安全策略设置”对话框——单击增加——将DOMAIN USERS增加到组内。
二、测试“在本地登录”设置是否正常。
由于改建立的组策略不能马上生效，必须利用以下三种之一来达到目的。
1、在“在命令提示符”下。输入secedit refreshpolicy machine_policy。让计算机配置生效，或是用户配置文件：则将machine_policy改为user_policy.即可。
2、将此计算机重启。
3、等待此策略应用到计算机内。
三、新建一个用户，测试一下，能否在本地登录。
□管理模板策略的设置
通过以下范例来设置管理模策略
1、 隐藏用户桌面的“网上邻居”图标。
2、将“开始”菜单中的“运行”“帮助”等命令删除。
3、 在“开始”菜单中添加“注销”的功能。
一、建立练习时所需的组织单位与用户帐户。
1、建立一个组织单位taiwan.。
2、在TAIWAN组织单位内新建一用户帐户TONY。
3、在TAIWAN组织单位内新建一个组织单位SALES。
4、在SALES组织单位内新建一个用户帐户SCOTT。
二、设置与测试组策略的功能。
在TAIWAN组织单位内建立一GPO，然后利用TAIWAN组织单位的用户TONY登录，测试GPO是否有效。然后再利用下一层的SALES组织单位内的用户SCOTT测试，是否继承TAIWAN的GPO设置。
A、在TAIWAN组织单位内建立一个GPO，名称为taiwan policy.。
1、利用ADMINISTRATOR帐户登录。
2、开始——程序——管理工具——活动目录用户和计算机——双击域名——TAIWAN组织单位——属性——组策略——新建GP0，命名taiwan policy。
B、更改TAIWAN POLICY设置
1、选中“TAIWAN POLICY”——单选“编辑”。
2、用户配置——管理模板——任务栏和‘开始’菜单。
3、双击右则“从‘开始’菜单删除‘帮助‘命令。”
4、出现属性对话框——启用。
5、确定，完成设置。
C、测试TONY帐户，以及SCOTT帐户是否继承了TAIWAN POLICY组策略。
三、测试组策略的替代功能
在TAIWAN组织单位的下一层组织单位建立一个GPO，然后设置如下：将
将从“‘开始’菜单删除‘帮助‘命令。”命令禁用。
A、在SALES组织单位内建立一个新GPO
1、利用ADMINISTRATOR帐户登录。
2、开始——程序——管理工具——活动目录用户和计算机——双击域名——在TAIWAN下的SALES组织单位单鼠标右键——属性——组策略——新建（命名：tainwan-sale policy）——编辑。
3、 出现“组策略”窗口——用户配置——管理模板——任务栏和‘开始’菜单
4、 双击右则的“从‘开始’菜单删除‘帮助‘命令。”——禁用——确定，设置完成。
5、进行测试并与上次的测试结果进行比较。
四、在子容器的GPO内，若些些策略被设置为“未被配置”，则子容器内的这些设置将继承父容器内的设置。但是却可以在子容器的GPO内，通过“阻止策略继承”复选框。将子容器的GPO设置为不要继承父容器的设置。
五、强迫继承组策略
可以在父容器内。设置强迫其所有的子容器必须继承父容器的GPO设置。那就是父容器的”禁止替代“功能。
□帐户策略设置
帐户策略设置的注意事项：
A、若针对域设置的帐户策略，则这个策略会应用到域内的所有计算机。
B、若针对某个组织单位设置帐户策略，是这个策略只会应用到这个组织单位内的计算机而已。
设置帐户策略的步骤：
“活动目录用户和计算机”（域或组织单位）上鼠标右键——属性——组策略——选定GPO——编辑——计算机配置——WIN设置——安全设置——帐户策略。以下针对“密码策略”和“帐户锁定策略”。常用项进行说明。
一、密码策略常用项的说明：
A、密码最长存留期：设置用户密码最长的使用期限。
B、密码最短存留期：设置用户密码最短的使用期限。
C、密码最长度最小值：设置用户密码时，密码的最少需要几个字符。
D、强制密码历史：设置是否要记录用户以前所使用过的密码，以便在设置新密码的时，是否可以设置以前使用过的密码。
E、不保留密码历史。在设置新密码时，可以设置以前使用过的密码。
F、保留密码历史。在设置新密码时，保留密码是不能做为新密码使用的。
二、帐户锁定策略
A、帐户锁定阈值：设置用户登录几次失败后，将该用户锁定。
B、帐户锁定时间：用户在锁定多久时间后。自动解锁。
C、复位帐户锁定计数器：锁定计数器开始是0，用户登录失败则是加1，用户成功则为0，若锁定计数器值等于帐户锁定阈值，帐户就会被锁定。
□本地策略的设置
本地策略设置包括：审核策略、用户权利指派策略、安全选项策略。
一、用户权利指派策略
1、设置步骤：活动目录用户和计算机”（域或组织单位）上鼠标右键——属性——组策略——选定GPO——编辑——计算机配置——WIN设置——安全设置——本地策略——用户权利指派：有以下权利：
A、在本地登录：允许用户在本台计算机上按CTRL+DEL+ALT键登录。
B、域中增加工作：允许用户将WINNT/WIN2000计算机加入到域内。
C、关闭系统：允许用户关闭此计算机。
D、以网络访问此计算机：
E、从远端计算机来关闭此台计算机。
F、备份文件和目录。
G、还原文件和目录。
H、管理审核和安全日志。
I、更改系统的时间。
J、装载和卸载设备驱动程序。
K、取得文件或其他对象的所有权。
二、安全选项策略
A、登录屏幕上不要显示上次登录的用户名。
B、允许在未登陆前关机。
C、在密码到期前提示用户更改用户密码。
D、禁用CTRL+ALT+DEL进行登录的设置
E、用户试图登录时消息文字与用户试图登录时的消息标题。
□登录/注销、启动/关闭脚本
登录脚本：是针对一个用户设置的，也就是若某个用户被指派了登录了登录脚本。则当其登录时，此脚本就会自动被执行。
一、登录/注销脚本的设置
用记事本编写登录和注销脚本：
登录脚本：名称：logon.vbs 文件内容：wscripts echo “ welcome to windows 2000 ,this is a logon script test”
注销脚本：名称:logoff.vbs 文件内容：wscrpts echo “Goodbye,this a logoff scripts test
设置步骤：
1、“活动目录用户和计算机”鼠标右键——属性——组策略——选定GPO——编辑——用户配置——WIN配置——脚本（登录注销）——登录
2、出现显示脚本文件对话框。
3、请先将你编辑好的logon.vbs复制到以下目录内：
%systemroot%\SYSVOL\sysvol\域名\policies\{GUID}\USER\SCRIPTS\logon
GUID，不同的GPO有不同的GUID号。每个GUID是唯一的。
4、在步骤2出的对话框中——单击“添加”将logon.vbs添加进入——确定。
5、再用相似的方法来添加注销的脚本：logoff.vbs.
6、如果说GPO是针对域设置的，则对域内的每个用户都起作用。即登录时都会出现脚本。若是仅对某个组织单位设置，则那个被设置的组织单位的用户会出现脚本。
7、创建用户，测试脚本的有效必性。
二、启动/关闭脚本的设置。
编辑好启动与关闭脚本：
启动脚本：文件名称：startup.vbs 文件内容：wscript echo “welcome to windows 2000 ,this is a startup script test”
关闭脚本：文件名称：shutdown.vbs 文件内容：wscript echo “goodbye. This is a script test”
设置启动/关闭脚本的步骤：
1、“活动目录用户和计算机”鼠标右键——属性——组策略——选定GPO——编辑——计算机配置——WIN配置——脚本（启动/关闭）——启动
2、出现选择“启动脚本文件”对话框。
1、 将我们所做的启动脚本文件得到：%systemroot%\SYSVOL\sysvol\域\policies\{GUID}\MACHINE\SCRIPTS\startup。
4、回到步骤2时出现的添加文件的对话框，单击“增加”按钮。浏览选择startup.vbs文件。
5、用类似的方法增加关闭脚本文件。Shutdown.vbs6、完成设置后，如果这个GPO策略是针对域设置的，若对域内的用户都会起作用的。如果
这个GPO是针对组织单位设置的，则会这所设置的组织单位起作用的。
□部署应用程序
通过组策略可以为用户和计算机来部署应用程序。这也就是说
A、将应用程序分布给用户。当某个应用程序通过GPO被发布给用户后。用户可以自行增加/删除应用程序。
B、将应用程序指派给用户或计算机：当某个应用程序通过组策略的GPO被反映派给用户后，则用户在登录时，这个应用程序就会被“广告”给用户，但这个应用程序并不真正安装，只是提供了一些安装信息，等你应用时才会安装。如果是指派给计算机了。计算机在启动时，就会自动安装应用程序。
C、自动修复应用程序。一个被发布或指派的应用程序。当应用程序受到破坏时，当用户登录或计算机重启时，会自动修复的。
D、删除用户应用程序：一个被发布或指派的应用程序，在用户安装完成后，若不想再让用户使用此应用程序，只要将应用程序从GPO内删除即可。
一、发布应用程序
建立安装WINDOWS安装程序包的文件夹
1、请在任何一台服务器上内建立一个文件夹，例如：Ｃ:\packages，这个文件夹是要用来存储应用程序的。
２、将此文件夹设置为共享，并给一个共享名。因为网络上的用户必须ＵＮＣ路径来访问，所以要设置共享。
３、将应用程序复制到共享文件夹内。
设置默认程序包位置
４、“活动目录用户和计算机”——域名——属性——组策略——选定ＧＰＯ——编辑——用户配置——软件设置——软件安装。
５、“软件安装”——属性。
６、出现“默认程序包位置”输入框。在此处输入：应用程序的存储位置，注意是ＵＮＣ路径。\\计算机名\共享文件夹。——确定。
发布应用程序
７、回到“软件安装“——新建——“程序包”。
８、请选择用于练习的安装程序包——单击“打开”。
９、请选择“已发行”——确定。
安装被发布的应用程序
１、利用域用户或组织单位用户来登录
２、开始——设置——控制面板——“添加／删除程序”。
３、添加新程序——从网络添加程序（就会显示出已经发布的应用程序）。
４、选择要安装的应用程序——单击“添加”——就会安装此应用程序。
测试自动修复应用程序功能
１、请找到应用程序的安装位置。
２、删除此应用程序的安装文件夹。
３、以应用程序发布用户重新登录。
４、运行删除的应用程序，会发现系统会自动重新再安装应用程序。
二、给用户指派应用程序。
给用户指派应用程序与给用户分布应用程序的方法基本一致
１、在一台服务器上建立一个共享文件夹。
２、设置默认程序包位置
３、给用户指派应用程序，在选择部署方法是：将已经“已发行”改为“已指派”测试被指派的应用程序
用户登录后，可以在开始——设置——控制面板——添加／删除应用程序——添加新程序，会发现被指派的应用程序已经安装，但实际是“广告”，并没有真正的安装起来。
测试自动修复应用程序功能
这个功能与测试自动修复已发布的应用程序功能相似。
三、给计算机指派应用程序
活动目录用户和计算机——域或组织单位——属性——组策略——选定ＧＰＯ——计算机配置——软件设置——软件安装。其它的地方与给用户指派应用程序相似。
1、改变应用程序的部署的类型。
2、取消被部署的应用程序。在被部署的应用程序单击鼠标右键——所有任务——删除。
3、设置当安装此应用程序时，是否出现完整的安装界面，或者只显示部分的界面。在被部署应用程序上单击鼠标右键——属性——部署。
4、将应用程序升级：在被部署的应用程序单击鼠标右键——属性——升级——添加
□文件夹重定向
可以利用组策略将一些WIN2000内的特殊文件夹的存储位置，重定向到网络上的其他内。所谓的特殊文件夹，是指如“我的文档”、“my pictures”等数据的存储位置。一般情况下，这些文件夹是在本地计算机内，可以通过“我的文档”——“属性”——“目标文件夹”指定网络上的其他计算机内。
通过以下两种方式来重定向
1、针对每个用户设置，也就是将每个用户的文件夹重定向。
2、针对某个组设置，用户的文件夹重定向。也就是将某个组内的所有
以“我的文档”文件夹说明如何将文件夹重定向，并且是针对某个组进行设置。
1、活动目录用户和计算机——USERS组织单位内建立user1、user2、然后建立一个安全，例如：testgroup、
2、在任何一台服务器内建立一个文件夹，例如XOCUMENTS，这个文件用来存储用户的“我的文档”数据。
3、将文件夹设置为共享。共享名与文件夹名相同即可。
4、通过“活动目录用户和计算机”——域名单击右键——属性——组策略——选定GPO——编辑——用户配置——WINDOWS配置——文件夹重定向——MY DOCUMENTS。
5、在“MY DOCUMENTS”单击鼠标右键——属性——目标——“设置”处选择“高级——为不同的用户组指定位置”——单击“添加”。
6、出现添加“指定组和位置”对话框。请“安全组成员身份”处输入组名称，然后在目标文件夹位置“处输入存储此组每个用户的“我的文档”的文件夹路径UNC。——“确定”完成后。
7、注销，利用TESTGROUP组内的用户USER1登录，“我的文档”文件夹改为上面所设置的路径。
将用户的“我的文档”文件夹重定向到网络服务器内有以下的优点。
1、无论用户到网络上任何一台计算机登录域，都可以访问到该文件夹。
2、这些存储在服务器内的数据，可能信息部门的定期定期备份，将其备份存储起来，让用户的数据多一份保障。
3、可能在服务器上限额配置用户的“我的文档”。
如果“我的文档”与*作系统在同个硬盘内，则将其重定向到其他的硬盘后，即使*作系统重新安装，对“我的文档”文件夹内的数据影响也会比较小。

㈣ 封装WIN 10 用户文件夹重定向到D

WIN10用户文件夹重定向到D的方法：
1、先建立用户，试验中咱们使用it01这个帐户作测试，ide。
2、使用gpmc.msc打开组策略管理，并针对Contoso Users这个OU进行实施组策略，测试。
3、 点击编辑组策略，定位到，用户策略--策略--windows设置--文件重定向--桌面，3d。
4、选择高级---和基本的区别是，高级的能够定义某个安全组的桌面行为，比基本的全局设置方便了许多，也就是说，经过高级，你能够针对某些特殊的用户进行特殊的重定向，好比把部分很特殊的用户重定向到服务器的位置。blog点击左下角的“添加”，get，
5、由于咱们设置的用户本地的D盘，因此要选择“在根目录路径下为每一个用户建立一个文件夹。
6、 在DC上更新组策略即可。