(2)计算机配置：脚本、安全设置
    用户配置：IE 维护、脚本、安全设置、远程安装服务、文件夹重定向
            (3)管理模板－解决用户环境的问题
               计算机配置：Windows 组件、系统、网络、打印机
    用户配置：Windows 组件、系统、网络、桌面、控制面板、任务栏和开始菜单
    3.2.1 计算机配置中的 Windows 配置
    1.添加脚本
    组策略脚本设置的功能是可以集中配置脚本，在计算机启动或关闭时， 自动运行。指定在 Windows 2003 上运行任何脚本，包括批处理文件、可执 行程序等。如果同时添加多个脚本，则 Windows 2003 按照从上到下的顺序 执行；如果多个脚本之间有冲突，则最后处理的脚本有效。配置步骤如下：
     1) 打开组策略控制台－选中需要编辑的组策略－单击“编辑”
     2) 计算机配置－Windows 设置－脚本－右击“启动”－单击“添加”
    3) 单击“浏览” ，选定要运行的脚本或可执行文件
    2.计算机中的安全设置
    安全设置包括：帐号策略、本地策略、事件日志、无限制的组、系统 务、注册表、文件系统、公钥策略、IP 安全策略。配置步骤如下：
    （1） 打开组策略控制台－选中需要编辑的组策略－单击“编辑”
    （2）计算机配置－Windows 设置－安全设置－右击 “登录屏幕不要显示上次 登录的用户名”
    （3） 选择“安全性”－选中“定义这个策略设置”和“已启用”
    3.2.2 计算机配置中的管理模板
    (1)计算机配置中的管理模板－控制计算机桌面的外观和行为
    管理模板包括：Windows 组件、系统、网络。Windows 组件中规定了 一些操作系统自带的组件，如：IE、Netmeeting、 若任务计划等。
    (2)设置 Windows 组件。步骤如下：
    1) 控制面板－任务计划－添加一个任务计划
    2) 打开组策略控制台－选中需要编辑的组策略－单击“编辑”
    3) 计算机配置－管理模板－Windows 组件－选中“任务计划程序”项
    4) 右击“禁用‘创建新任务’ ”－选择“属性”－在“策略”选项卡中选 中“启用”
    管理模板是基于注册表的策略。在计算机和用户配置中都可以设置管 理模板的内容。管理模板是组策略中可以使用的对系统进行管理最灵活的一种手段。
    3.2.3 网络子树
    网络子树包括：脱机文件（处理与脱机文件夹有关的事项）；网络及拨号连接
    禁用网络连接共享。配置步骤如下：
    （1）新建一个拨号连接，设置共享
    （2）打开组策略控制台－选中需要编辑的组策略－单击“编辑”
    （2）计算机配置－管理模板－网络－网络及拨号连接
    （4）右击“允许连接共享”－选中“禁用”
    3.2.4用户配置中的 Windows 配置
    Windows 配置中包括：IE 维护、脚本、安全设置、远程安装服务、文 件夹重定向
    （1）用用户策略中的 IE 维护为用户指定默认主页。步骤如下：
    1) 打开组策略控制台－选中需要编辑的组策略－单击“编辑”
     2) 用户配置－Windows 设置－IE 维护－URL
     3) 右击“重要 URL”－选择“属性”－选中“自定义主页 URL” －输入网址
    3.2.5 文件夹重定向
    重定向文件夹。步骤如下：
    1) 用户配置－Windows 设置－文件夹重定向－右击“My Document”子树－选择“属性”
    2) 在“目标”选项卡中，选择“基本” ，来为每个用户在服务器上 建立一个个人文件夹，文件夹名即用户名
    3) 在目标文件夹的位置输入路径：\\服务器名\共享文件夹名\％用 户名％
    4) 在“设置”选项卡中设置：只有用户和系统能够访问该文件夹 文件夹重定向的功能：将用户常用的文件夹重定向到网络中的某台服 务器的共享文件夹中。对用户最终的效果是：无论用户在那一台计算机上 打开它自己的这些文件夹，看到的都是相同的内容。需要注意的是，文件 夹重定向只是重定向用户自己创建的数据文档，而不会把系统数据重定向 到网络服务器上。
    3.2.6用户配置中的管理模板－控制用户环境
    用户配置的管理模板包含：Windows 组件、任务栏和开始菜单、桌面、控制面板、网络、系统。
    资源管理器中的策略（使资源管理器中的文件夹选项消失）
    1) 打开组策略控制台－选中需要编辑的组策略－单击“编辑”
    2) 用户配置－管理面板－Windows 组件－Windows 资源管理器
    3) 右击“从‘工具’菜单中删除‘文件夹选项’菜单” ，选择“启 用”任务栏和开始菜单－控制任务栏和开始菜单中的各种环境
    3.3 使用组策略管理软件
    管理和维护软件可能使大多数管理员都要面对的，客户经常会问管理 员他使用的软件为什么不能使用了、新软件如何安装。怎么进行软件升级 等。 利用 Windows server2003 的软件分发功能可以很轻松的实现这些需求， 这位我们的管理工作带来了极大的方便。软件分发是指通过组策略让用户 或计算机自动进行软件的安装、更新或卸载。
    在 Windows server2003 中，可以通过使用一个站点、域、组织单元内 的用户和计算机的组策略设置，来为这个站点、域、组织单元的用户和计 算机自动安装、升级或删除软件。
    3.3.1 软件布置（安装和维护）的步骤
    (1)准备阶段
     准备一个文件， 以便一个应用程序能用组策略布置。 为完成这个， 应将用于应用程序的 Windows 安装程序包文件（*.msi *.zap）复制到 一个软件分布点，它可能是一个共享文件夹或服务器。
    (2)布置阶段
    管理员创建一个在计算机上安装软件并将 GPO 链接到相应的活 动类别容器内的组策略对象（GPO） 。实际上，软件是在计算机启动 或用户激活应用程序时安装。
    (3)维护阶段
    用新版本的软件升级软件或用一个补丁包来重新布置软件。当计 算机启动时或用户激活应用程序时将自动升级或重新布置软件。
    (4)删除阶段
    为删除不再使用的软件，从开始布置软件的 GPO 中删除软件包 设置。当计算机启动或用户登录时软件将被自动删除。
    3.3.2发布和分配软件
    用组策略统一给客户端安装软件，有两种形式：发布、分配（指派）发布和分配软件，所有发布的软件都需要用控制面板中的“添加/删除程序”工具来安装；也可以通过文档激活自动安装。只能将软件发布给用户，而不给计算机。
    分配软件可以将软件分配用户和计算机。通过分配软件，可以确保：
    (1)软件对用户总是可用的。 可以采用文档激活方法安装， 如使用 Word、 Excel 等应用程序的用户。
    (2)软件是有弹性的。如果缺少某些文件，当用户下次登录并激活应用 程序时，将重新安装。
    (3)当给用户分配软件时，软件将出现在用户的桌面上，但是在用户双 击其图标或打开与应用程序关联的文件之前，安装不会开始。
    (4)当给计算机分配软件时，在计算机启动时，软件将被自动安装。
    注：如果计算机是一个域控制器，分配软件给计算机将不起作用。
    3.3.3 用组策略布置软件包
    用组策略布置软件包（以用户配置中的软件设置为例）。步骤如下：
    1）打开组策略控制台－选中需要编辑的组策略－单击“编辑”
    2）用户配置－软件设置－右击“软件安装”－选择“新建”－单击“程序 包” 3）选择安装程序包（*.msi *.zap）－单击“打开”
    4）选择布置方法为“已发行”
    5）再选择另一个安装程序包，选择布置方法为“已指派”
    6）在域中另一台计算机上登录，控制面板－添加/删除程序－添加新程序 注：该安装程序包所在目录必须是共享的，客户机一定要指向 DNS。
    参考文献：
    [1]袁津生的计算机网络安全基础，人民邮电出版社，2008
    [2]许治坤的网络渗透技术，电子工业出版社，
    [3]加瑞特（译者范晓燕）的用户体验的要素，机械工业出版社 2008,1
    [4]刘彦博译的高性能网站建设指南，电子工业出版社，2008