Windows Server 中的组策略功能集Word下载.docx

1、；安装 Windows XP Professional 工作站并最终将此工作站添加到域中。后续分步指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。通用网络结构要求完成以下指南。第一部分：将 Windows Server 2003 安装为域控制器第二部分：安装 Windows XP Professional 工作站并将其连接到域在配置通用网络结构后，可以使用任何其他分步指南。注意，某些分步指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的分步指南中。Microsoft Virtual PC可以在物理实验室

2、环境中或通过虚拟化技术（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）来实施 Windows Server 2003 部署分步指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。这些分步指南中提供的概念在虚拟环

3、境中的应用不在本文的讨论范围之内。重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，我们决无意影射，任何人也不应由此臆猜，任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用基础结构中使用的虚拟公司名称和域名服务 （DNS） 名称并没有为在 Internet 上使用而进行注册。您不应在公共网络或 Internet 上使用此名称。此通用基础结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Dir

4、ectory 配合使用。不能将其作为任何组织进行 Active Directory 配置的模型。返回页首组策略设置定义了需要由系统管理员管理的用户桌面环境中的各种组件；例如，用户可以使用的程序、出现在用户桌面上的程序以及开始菜单选项。您指定的组策略设置包含在一个组策略对象 （GPO） 中，该组策略对象又与选定的 Active Directory 对象（站点、域或者组织单位 （OU）关联。组策略不仅应用于用户和客户端计算机，而且还应用于在管理范围内的成员服务器、域控制器和任何其他 Windows Server 2003 计算机。默认情况下，应用于域的组策略（即，就在“Active Directo

5、ry 用户和计算机”根目录上面的域级别应用）影响该域中的所有计算机和用户。“Active Directory 用户和计算机”还提供了内置的域控制器 OU。如果在此处保存您的域控制器帐户，则可以使用 GPO 默认域控制器策略，将域控制器与其他计算机分开进行管理。GPO 链接到 Active Directory 中的站点、域和 OU 容器。默认的优先级顺序遵循 Active Directory 的分层结构特性：先是站点，然后是域，最后是每个 OU。一个 GPO 可以与多个 Active Directory 容器关联，或者说多个容器可以链接到一个 GPO。可以使用 GPO 基于安全组成员身份来筛选对

6、象，这样，管理员就可以按集中方式或分散方式来管理计算机和用户。为此，管理员可以使用基于安全组的筛选来定义组策略管理的作用域，以便在域级别集中应用组策略。也可以在 OU 级别按分散方式来应用组策略，然后再次按安全组对其进行筛选。管理员可以在组策略中使用安全组来执行以下操作：筛选 GPO 的作用域。这定义了受 GPO 影响的用户和计算机组。委派对 GPO 的控制。管理和委派组策略包括两个方面：管理组策略链接和管理创建和编辑 GPO 的人员。可以使用几种管理工具来管理组策略设置，其中包括：“组策略对象编辑器 Microsoft 管理控制台 （MMC）”管理单元Windows Server 2003

7、中的默认 MMC 管理单元以及在本分步指南中使用的 MMC 管理单元。带有 Service Pack 1 的组策略管理控制台 （GPMC）GPMC 通过简化组策略的管理扩展了默认组策略对象编辑器，从而更容易了解、部署、管理组策略的实施和对组策略的实施进行故障排除。GPMC 还允许通过脚本自动完成组策略操作。有关更多信息，请参见关于组策略管理控制台使用的分步指南。提供其他策略设置的第三方扩展组策略包括影响用户的“用户配置”策略设置，以及影响计算机的“计算机配置”策略设置。通过使用组策略，您可以执行以下操作：使用“管理模板”管理基于注册表的策略。组策略创建一个包含注册表设置的文件，这些设置将写到注

8、册表数据库的“User”或“Local Machine”部分。分配脚本。这包括诸如计算机启动、关机、登录和注销之类的脚本。重定向文件夹。您可以将“My Documents”和“My Pictures”等文件夹从本地计算机上的“Documents and Settings”文件夹重定向到网络位置。管理应用程序。您可以通过使用“组策略软件安装”来分配、发布、更新或修复应用程序。指定安全选项。本文简要介绍“组策略”，并说明如何使用“组策略”管理单元来指定用户和计算机组的策略设置。先决条件Active Directory 管理分步指南指南要求注意：本文并没有对所有可能出现的组策略方案全部予以介绍。应当

9、使用此操作说明集来帮助您了解组策略的工作方式，帮助您考虑您的组织如何使用组策略来降低其 IT 管理成本。其他 Windows Server 2003 功能（包括“安全设置”和“软件安装和维护”）都建立在组策略的基础之上。有关可用文档的完整列表，请参见 Windows Server 2003 中的组策略 Web 站点。组策略通过 MMC 管理单元扩展机制与 Active Directory 管理工具直接集成在一起。Active Directory 管理单元设置了组策略管理的作用域。最常见的组策略访问方法是使用“Active Directory 用户和计算机”管理单元将管理作用域设置为域和 OU。

10、您也可以使用“Active Directory 站点和服务”管理单元将管理作用域设置为站点。可以从“管理工具”程序组中访问这两个工具；这两个工具中都启用了“组策略”管理单元扩展。另外，也可以创建自定义的 MMC 控制台（如下一节所述）。配置自定义控制台本文中的示例使用自定义的 MMC 控制台，您可以按照本节中所述的过程来创建该控制台。您需要先创建此自定义控制台，然后再尝试执行本文中的其他过程。要配置自定义控制台，请按照以下步骤操作：1.以“administrator”的身份登录到“HQ-CON-DC-01”上。2.单击“开始”按钮，单击“运行”，键入“mmc”，然后单击“确定”。3.在“控制台

11、1”窗口中，单击“文件”，然后单击“添加/删除管理单元”。4.在“添加/删除管理单元”对话框中，单击“添加”。5.在“添加独立管理单元”对话框的“可用的独立管理单元”列表框中，单击“Active Directory 用户和计算机”，然后单击“添加”。6.在“可用的独立管理单元”列表框中双击“Active Directory 站点和服务”管理单元。7.向下滚动，然后双击“组策略对象编辑器”。8.在“选择组策略对象”对话框中，确保选中了“组策略对象”下面的“本地计算机”。单击“完成”，然后单击“关闭”。9.在“添加/删除管理单元”对话框中，单击“扩展”选项卡。确保为添加到 MMC 控制台中的每个主

12、扩展选择了“添加所有扩展”复选框（它们是默认选中的）。单击“确定”。要保存控制台更改，请按照以下步骤操作：在 MMC 控制台中，单击“文件”，然后单击“保存”。在“保存为”对话框的“文件名”文本框中，键入“GPWalkThrough”，然后单击“保存”。控制台应该如图 1 所示。图 1. 组策略 MMC 控制台访问组策略您可以使用相应的 Active Directory 工具来访问组策略，但可以将焦点放在任何站点、域或 OU。要从“Active Directory 站点和服务”中打开组策略，请按照以下步骤操作：在“GPWalkthrough”MMC 控制台的控制台树中，单击“Active Di

13、rectory 站点和服务”旁边的“+”号。在控制台树中，单击“Sites”旁边的“+”号，然后右键单击“Default-First-Site-Name”。单击“属性”，然后单击“组策略”选项卡。单击“取消”。要从“Active Directory 用户和计算机”中打开组策略，请按照以下步骤操作：在“GPWalkthrough”MMC 控制台的控制台树中，单击“Active Directory 用户和计算机”旁边的“+”号。在控制台树中，右键单击“”以访问组策略。要访问作用域为特定计算机（或本地计算机）的组策略，您必须在针对特定计算机（或本地计算机）的 MMC 控制台名称空间中加载“组策略”管

14、理单元。出现这些差异主要有两个原因：站点、域和 OU 可以链接多个 GPO；这些 GPO 需要使用中间的属性页来管理它们。特定计算机的 GPO 存储在该计算机中，而不是存储在 Active Directory 中。创建组策略对象组策略设置包含在 GPO 中，这些 GPO 分别链接到选定的 Active Directory 对象（如站点、域或 OU）上。要创建新的 GPO 并将其链接到“Headquarters”OU 上，请按照以下步骤操作：在“GPWalkThrough”MMC 中，展开“Active Directory 用户和计算机”下面的“”。单击“Accounts”旁边的“+”号以展开该树。右键单击“Headquarters”，然后单击“属性”。在“Headquarters 属性”