大家下午好！承蒙51cto及各位朋友的错爱，本期专家坐诊由我来主持。关于本期主题，想必各位朋友已经知道，就是讨论关于Windows 2000/XP/2003组策略和常见问题。

Windows xp home版缩减了很多功能，其中就包括组策略。以下windows版本才有组策略： windows 2000 pro/server，windows xp pro，windows server 2003，windows vista small business/profession/enterprise和ultimate，以及windows server “longhorn”。
除了这些版本以外，像windows 95/98/me，windows xp home，windows nt都没有组策略的说法，相应的在这些平台是“系统策略”，我们这里说的组策略是windows 2000/xp/2003的组策略，是以前的“系统策略”的更高级扩展，它是由windows 9x/nt的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，当然仅限于上述这些平台可以用，所以我们讨论组策略时，不包含 windows 9x/nt。

打开文件 ftpusers，如果有root，行首加#号注释掉就可以了。
solaris 10 ftpusers文件在/etc/ftpd目录下。

可以考虑“power users”组，改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低，但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组，则应仔细地控制该组的成员，并且不要实现用于“受限制的组”设置的指导。
“受限制的组”设置可在 windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置：
计算机配置\windows 设置\安全设置\受限制的组
通过将需要的组直接添加到 gpo 命名空间的“受限制的组”节点上，管理员可以为 gpo 配置受限制的组。
如果某个组受限制，您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全受限。只有通过使用安全模板才能使组受限。
查看或修改“受限制的组”设置：
1.打开“安全模板管理控制台。
注意：默认情况下，“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它，请启动 microsoft 管理控制台 (mmc.exe) 并添加“安全模板”加载项。
2.双击配置文件目录，然后双击配置文件。
3.双击“受限制的组”项。
4.右键单击“受限制的组”。
5.选择“添加组”。
6.单击“浏览”按钮，再单击“位置”按钮，选择需浏览的位置，然后单击“确定”。
注意：通常这会使列表的顶部显示一个本地计算机。
7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。
╟ 或者 -
单击“高级”按钮，然后单击“立即查找”按钮，列出所有可用组。
8.选择需要限制的组，然后单击“确定”。
9.单击“添加组”对话框上的“确定”来关闭此对话框。
对于所列出的组来说，将添加当前不是所列组成员的任何组或用户，而当前已是所列组成员的所有用户或组将从安全模板中删除。
为完全限制“power users”组，此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组（例如“backup operators”组），建议您限制它。

软件分发是这样进行的： 分配应用程序 打开“软件安装”管理单元，单击控制台中的“软件安装”节点。 位置： group_policy_object_name-计算机配置（或用户配置）- 软件设置- 软件安装，右键单击详细信息窗格，单击“新建”，然后单击“软件包”。 在“打开”对话框中，单击要分配的“windows 安装程序”软件包，然后单击“打开”。（“打开”对话框将显示位于默认软件分发位置的软件包。有关如何设置默认软件分发位置的指示，请参阅相关主题。） 如果 windows 安装程序包位于不同的网络共享位置，请单击“浏览”查找该软件包的分发位置。在“部署软件”对话框中，单击“已分配”，然后单击“确定”。 有很多软件都可以制作msi文件，比如advanced installer，微软光盘也自带一个，不过并不好用，建议找第三方的工具。

我不太明白你说的打不开是什么样的情景。因为你提出的问题过于简略，我认为有两个可能。所以我要从两个可能的情景来分别予以阐述。 第一个可能就是无意被禁用所致。重新启动系统，按f8后出现启动选项菜单，选择安全模式。进入安全模式后，运行mmc（可以在开始-运行中输入，也可以在命令行提示符下输入），在文件菜单上，单击添加/删除管理单元。单击添加。然后在 available stand-alone snap-ins（可用的独立管理单元）菜单上，单击组策略，然后单击添加。如果不希望编辑“本地计算机”策略，请单击浏览以找到您希望的组策略。如果提示您输入用户名和密码，请输入，然后在返回“选择组策略对象”对话框后单击完成。备注：您可以使用浏览按钮来找到链接到站点、域、组织单位 (ou) 或计算机的组策略对象。使用默认的组策略对象 (gpo)（本地计算机）编辑本地计算机的设置。单击关闭，然后在添加/删除管理单元对话框中，单击确定。选定的 gpo 即显示在控制台根节点下。接下来把原来的设置改回来，重新启动计算机，问题就可以得到解决了。 第二个可能就是windows的系统环境变量发生了改变。这个原因引起故障的现象表现如下： 管理单元初始化失败。
名称：组策略 clsid:{8fc0b734-a0e1-11d1-a7d3-0000f87571e3}
解决方法如下：
1. 检查你的系统环境变量。大部分这个问题是环境变量里面多了一个“\”引起的。
2. 修改你的环境变量，至少要有下面的内容：c:\windows\system32;c:\windows;c:\windows\system32\wbem
3. 运行regedit找到:hkey_classes_root\clsid\{8fc0b734-a0e1-11d1-a7d3-0000f87571e3}\inprocserver32，把default改成:%systemroot%\system32\gpedit.dll。
然后重新注册gpedit.dll也就是regsvr32 gpedit.dll，重启即可解决问题。

内置的本地管理员帐户是众所周知的帐户名，易于成为攻击者的目标。建议您另外为该帐户选择一个名称，并且避免使用可表明管理身份或较高的访问权限帐户的名称。同时，务必还使用“计算机管理”控制台来更改本地管理员的默认描述。 如果对此帐户进行了重命名，但是忘了更改默认描述：“管理计算机(域)的内置帐户”，这不足以职员的注意力。还一定要记住，如果允许匿名帐户枚举系统上的用户，在很大程度上会与重命名管理员帐户所带来的安全好处相抵消。如果使用“帐户: 重命名系统管理员帐户”设置，重命名此帐户及其描述，会强制攻击者在破解此帐户时，必须找出帐户名和密码，而不是只找出密码。重命名后的帐户名及其描述不应当包括以下术语：root、su、admin、adm 或 supervisor。 因此，建议使用“帐户: 重命名系统管理员帐户”设置，将此帐户重命名为不表明管理或较高特权访问帐户的名称。 这就是孙子兵法的迷魂阵。

在vista和longhorn中，微软彻底更新了组策略的基础架构。管理员可能并不会发现组策略功能的全新变化到底给组策略的操作带来了什么变化。不过管理员们将会发现，windows vista的组策略比以前 windows 版本中的组策略更加强大。有一点毋庸质疑，就是微软对组策略的基础结构进行了重大调整，具有了新的管理功能、崭新的网络识别特性、新的策略设置、支持多个本地 gpo 、完全集成的组策略管理控制台（group policy management console，即 gpmc，需要下载后安装到 windows xp 和 windows server 2003 上。gpmc 是一个可编写脚本的 microsoft 管理控制台，提供了一个可以简单管理组策略的具。）以及其他功能。总之，相对于以前版本的windows，vista和longhorn 组策略提供了强大灵活的配置管理功能，并显著增加了可配置的设置和新资源，从而提高了系统的安全性（实际上降低了成本）。 这些改进是彻底而全面的。 详情可以参阅微软官方的资料：http://www.microsoft.com/technet ... efault.aspx?loc=zh/ 不过我感觉官方的说明似乎过于简略亦不甚明了。 详细说来，大致主要有这么几点： 采用了network location awareness，使工作站和服务器启动时间将更短、无论何时域控制器连接重新可用时，组策略客户端都将应用策略设置、组策略客户端利用network location awareness进行带宽检测，并且不再依赖于icmp协议。 采用group policy service。在新的操作系统中，组策略的基础架构已经完全脱离了winlogon，它以全新的体系结构执行组策略处理和通知。 还有一些我们渴望已久的一些策略： 电源管理设置的组策略部署、屏蔽硬件、增强的安全设置、扩充的internet explorer设置管理、基于物理位置分配打印机、后台智能传输服务（bits）策略、把设备驱动程序安装委托给普通用户、用户账号保护等等，限于篇幅，现在只能介绍个大概。如有兴趣以后我们还可以进行深入探讨。

这话题太大了，由于时间关系，三言两语说不清，
客户端可以参见 http://www.microsoft.com/china/t ... dance/secmod62.mspx
服务器可以参见 http://www.microsoft.com/china/t ... w2003hg/sgch00.mspx

这是因为组策略有优先级，你要记住这些规则：计算机策略覆盖用户策略；不同层次的策略产生冲突时，子容器上的gpo优先级高；同一容器上多个gpo产生冲突时，处于gpo列表最高位置的gpo优先级最高。
总体原侧就是：后执行的优先级高。
这样，处理方法是：
变更组策略的应用顺序；阻止继承；强制（禁止替代）；避免变更应用顺序。
为了更好的理解，我在这里列举一个例子一起分析一下。
部署组策略时遇到冲突，如何调整要根据实际情况进行分析。由于你没有说明是在什么情况下部署的组策略。那么我要分几个情况来讲述。如果对计算机和对用户的组策略发生冲突，则在缺省情况下，针对计算机的组策略优先；如果是本地组策略和域中组策略发生冲突，那么就要分析一下：如果是域环境下是是域安全策略生效，如果是本地用户登录，则是本地安全策略起作用。
由此我们知道了这个问题的实质就是优先级的高低。本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象，而且它有一个在非本地组策略对象中可用的设置子集。如果二者的设置发生冲突，非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突，则都可以应用。
假设我们以配置用户桌面上有无“网上邻居”图标这一策略项为例来分析组策略冲突时的生效级别。
一、同一ou上多个组策略
我们先在“active directory用户和计算机”中新建一个ou(组织单元)“1”，并在其中新建一个用户“lzy”。然后我们给“1”这个ou建立两个组策略：一个命名为“有‘网上邻居’”，并对其进行配置，停用“隐藏桌面上的‘网上邻居’图标”这一项目；另一个命名为“无‘网上邻居”’，并对其进行配置，启用“隐藏桌面上的‘网上邻居’图标”这一项目。
当这两个互相存在冲突的策略同时作用于 ou“1”时，以排在最上面策略为准(策略由下而上执行，以最后执行的为准)。即用户chen登录时桌面上还是有“网上邻居”图标的。
如果我们对排列在下的“无‘网上邻居”’策略设置了“禁止替代”，或者两者都设置了“禁止替代”，则以排在下面的“无‘网上邻居’”为准，即ou“1”中的用户lzy登录时桌面上将没有“网上邻居”图标。其原因是“禁止替代”具有强行执行的效力，并且，依据“禁止替代的权限不可下降”的原则，先执行的“不可替代”项目将屏蔽掉其后执行的“禁止替代”项目。
二、父ou和子ou
在域上新建ou“2”，并建立它的子ou“2(1)”，同时在子ou“2(1)”中建立用户“yangsir”。
在父ou“2”上新建一个组策略“无‘网上邻居’”，并对其进行相应配置；在子ou“2(1)”上新建组策略“有‘网上邻居’”，并对其进行相应配置。
大家知道一个ou上的组策略在默认情况下是要继承到其子ou上的。而这时子ou中的策略项目和其父ou上的项目存在冲突。在这种情况下，以子ou上的项目为准(先执行父ou上的策略，后执行子ou上的策略，以后执行的为准)，即子ou中的用户yangsir登录时，桌面上仍然有“网上邻居”图标。
另外，与第一种情况相同，如果父ou“2”上的“无‘网上邻居’”策略设置了“禁止替代’，即便是子ou“2 (1)”上的“有‘网上邻居”’也设置了“不可替代”，其最终执行结果依旧以先执行的父ou为准，即桌面无“网上邻居”。
三、“阻止策略继承”与“禁止替代”
“阻止策略继承”将阻断子ou从父级ou乃至更高级 ou或域上继承组策略设置。而在父级ou的策略上设置“禁止替代”，将使设置在子ou上的“阻止策略继承”失效。即这时用户yangsir登录时，产生效果的依旧是从父级ou上继承下来的，被设置为“禁止替代”的策略——“无‘网上邻居’”，这时桌面上将没有“网上邻居”图标。