Windows Server 中的组策略功能集Word下载.docx
《Windows Server 中的组策略功能集Word下载.docx》由会员分享,可在线阅读,更多相关《Windows Server 中的组策略功能集Word下载.docx(43页珍藏版)》请在冰豆网上搜索。
;
安装WindowsXPProfessional工作站并最终将此工作站添加到域中。
后续分步指南假定您已建立了此通用网络结构。
如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
•
第一部分:
将WindowsServer2003安装为域控制器
第二部分:
安装WindowsXPProfessional工作站并将其连接到域
在配置通用网络结构后,可以使用任何其他分步指南。
注意,某些分步指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。
任何额外的要求都将列在特定的分步指南中。
MicrosoftVirtualPC
可以在物理实验室环境中或通过虚拟化技术(如MicrosoftVirtualPC2004或MicrosoftVirtualServer2005)来实施WindowsServer2003部署分步指南。
借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。
VirtualPC2004和VirtualServer2005就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。
WindowsServer2003部署分步指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。
这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。
重要说明
此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,我们决无意影射,任何人也不应由此臆猜,任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。
此通用基础结构中使用的虚拟公司名称和域名服务(DNS)名称并没有为在Internet上使用而进行注册。
您不应在公共网络或Internet上使用此名称。
此通用基础结构的ActiveDirectory服务结构用于说明“WindowsServer2003更改和配置管理”如何与ActiveDirectory配合使用。
不能将其作为任何组织进行ActiveDirectory配置的模型。
返回页首
组策略设置定义了需要由系统管理员管理的用户桌面环境中的各种组件;
例如,用户可以使用的程序、出现在用户桌面上的程序以及「开始」菜单选项。
您指定的组策略设置包含在一个组策略对象(GPO)中,该组策略对象又与选定的ActiveDirectory对象(站点、域或者组织单位(OU))关联。
组策略不仅应用于用户和客户端计算机,而且还应用于在管理范围内的成员服务器、域控制器和任何其他WindowsServer2003计算机。
默认情况下,应用于域的组策略(即,就在“ActiveDirectory用户和计算机”根目录上面的域级别应用)影响该域中的所有计算机和用户。
“ActiveDirectory用户和计算机”还提供了内置的域控制器OU。
如果在此处保存您的域控制器帐户,则可以使用GPO默认域控制器策略,将域控制器与其他计算机分开进行管理。
GPO链接到ActiveDirectory中的站点、域和OU容器。
默认的优先级顺序遵循ActiveDirectory的分层结构特性:
先是站点,然后是域,最后是每个OU。
一个GPO可以与多个ActiveDirectory容器关联,或者说多个容器可以链接到一个GPO。
可以使用GPO基于安全组成员身份来筛选对象,这样,管理员就可以按集中方式或分散方式来管理计算机和用户。
为此,管理员可以使用基于安全组的筛选来定义组策略管理的作用域,以便在域级别集中应用组策略。
也可以在OU级别按分散方式来应用组策略,然后再次按安全组对其进行筛选。
管理员可以在组策略中使用安全组来执行以下操作:
筛选GPO的作用域。
这定义了受GPO影响的用户和计算机组。
委派对GPO的控制。
管理和委派组策略包括两个方面:
管理组策略链接和管理创建和编辑GPO的人员。
可以使用几种管理工具来管理组策略设置,其中包括:
“组策略对象编辑器Microsoft管理控制台(MMC)”管理单元
WindowsServer2003中的默认MMC管理单元以及在本分步指南中使用的MMC管理单元。
带有ServicePack1的组策略管理控制台(GPMC)
GPMC通过简化组策略的管理扩展了默认组策略对象编辑器,从而更容易了解、部署、管理组策略的实施和对组策略的实施进行故障排除。
GPMC还允许通过脚本自动完成组策略操作。
有关更多信息,请参见关于组策略管理控制台使用的分步指南。
提供其他策略设置的第三方扩展
组策略包括影响用户的“用户配置”策略设置,以及影响计算机的“计算机配置”策略设置。
通过使用组策略,您可以执行以下操作:
使用“管理模板”管理基于注册表的策略。
组策略创建一个包含注册表设置的文件,这些设置将写到注册表数据库的“User”或“LocalMachine”部分。
分配脚本。
这包括诸如计算机启动、关机、登录和注销之类的脚本。
重定向文件夹。
您可以将“MyDocuments”和“MyPictures”等文件夹从本地计算机上的“DocumentsandSettings”文件夹重定向到网络位置。
管理应用程序。
您可以通过使用“组策略软件安装”来分配、发布、更新或修复应用程序。
指定安全选项。
本文简要介绍“组策略”,并说明如何使用“组策略”管理单元来指定用户和计算机组的策略设置。
先决条件
ActiveDirectory管理分步指南
指南要求
注意:
本文并没有对所有可能出现的组策略方案全部予以介绍。
应当使用此操作说明集来帮助您了解组策略的工作方式,帮助您考虑您的组织如何使用组策略来降低其IT管理成本。
其他WindowsServer2003功能(包括“安全设置”和“软件安装和维护”)都建立在组策略的基础之上。
有关可用文档的完整列表,请参见WindowsServer2003中的组策略Web站点。
组策略通过MMC管理单元扩展机制与ActiveDirectory管理工具直接集成在一起。
ActiveDirectory管理单元设置了组策略管理的作用域。
最常见的组策略访问方法是使用“ActiveDirectory用户和计算机”管理单元将管理作用域设置为域和OU。
您也可以使用“ActiveDirectory站点和服务”管理单元将管理作用域设置为站点。
可以从“管理工具”程序组中访问这两个工具;
这两个工具中都启用了“组策略”管理单元扩展。
另外,也可以创建自定义的MMC控制台(如下一节所述)。
配置自定义控制台
本文中的示例使用自定义的MMC控制台,您可以按照本节中所述的过程来创建该控制台。
您需要先创建此自定义控制台,然后再尝试执行本文中的其他过程。
要配置自定义控制台,请按照以下步骤操作:
1.
以“administrator@”的身份登录到“HQ-CON-DC-01”上。
2.
单击“开始”按钮,单击“运行”,键入“mmc”,然后单击“确定”。
3.
在“控制台1”窗口中,单击“文件”,然后单击“添加/删除管理单元”。
4.
在“添加/删除管理单元”对话框中,单击“添加”。
5.
在“添加独立管理单元”对话框的“可用的独立管理单元”列表框中,单击“ActiveDirectory用户和计算机”,然后单击“添加”。
6.
在“可用的独立管理单元”列表框中双击“ActiveDirectory站点和服务”管理单元。
7.
向下滚动,然后双击“组策略对象编辑器”。
8.
在“选择组策略对象”对话框中,确保选中了“组策略对象”下面的“本地计算机”。
单击“完成”,然后单击“关闭”。
9.
在“添加/删除管理单元”对话框中,单击“扩展”选项卡。
确保为添加到MMC控制台中的每个主扩展选择了“添加所有扩展”复选框(它们是默认选中的)。
单击“确定”。
要保存控制台更改,请按照以下步骤操作:
在MMC控制台中,单击“文件”,然后单击“保存”。
在“保存为”对话框的“文件名”文本框中,键入“GPWalkThrough”,然后单击“保存”。
控制台应该如图1所示。
图1.组策略MMC控制台
访问组策略
您可以使用相应的ActiveDirectory工具来访问组策略,但可以将焦点放在任何站点、域或OU。
要从“ActiveDirectory站点和服务”中打开组策略,请按照以下步骤操作:
在“GPWalkthrough”MMC控制台的控制台树中,单击“ActiveDirectory站点和服务”旁边的“+”号。
在控制台树中,单击“Sites”旁边的“+”号,然后右键单击“Default-First-Site-Name”。
单击“属性”,然后单击“组策略”选项卡。
单击“取消”。
要从“ActiveDirectory用户和计算机”中打开组策略,请按照以下步骤操作:
在“GPWalkthrough”MMC控制台的控制台树中,单击“ActiveDirectory用户和计算机”旁边的“+”号。
在控制台树中,右键单击“”以访问组策略。
要访问作用域为特定计算机(或本地计算机)的组策略,您必须在针对特定计算机(或本地计算机)的MMC控制台名称空间中加载“组策略”管理单元。
出现这些差异主要有两个原因:
站点、域和OU可以链接多个GPO;
这些GPO需要使用中间的属性页来管理它们。
特定计算机的GPO存储在该计算机中,而不是存储在ActiveDirectory中。
创建组策略对象
组策略设置包含在GPO中,这些GPO分别链接到选定的ActiveDirectory对象(如站点、域或OU)上。
要创建新的GPO并将其链接到“Headquarters”OU上,请按照以下步骤操作:
在“GPWalkThrough”MMC中,展开“ActiveDirectory用户和计算机”下面的“”。
单击“Accounts”旁边的“+”号以展开该树。
右键单击“Headquarters”,然后单击“属性”。
在“Headquarters属性”