ActiveDirectory環(huán)境中使用組策略管理控制臺9468915501

1、ActiveDirectory環(huán)境中使用組策略管理控制臺9468915501該逐步式指南提供了在ActiveDirectory環(huán)境中使用組策略治理操縱臺（GPMC）來支持組策略對象（GPO）的一樣性指導。該指南并不提供GPO實施指導。本頁內(nèi)容4-aa備備備a簡介逐步式指南WindowsServer2003部署逐步式指南提供了專門多常見操作系統(tǒng)配置的實際操作體會。本指南第一介紹通過以下過程來建立通用網(wǎng)絡(luò)結(jié)構(gòu)：安裝WindowsServer2003;配置ActiveDirectory?;安裝WindowsXPProfessional工作站并最后將此工作站添加到域中。后續(xù)逐步式指南假定您已建立了此通

2、用網(wǎng)絡(luò)結(jié)構(gòu)。如果您不想遵循此通用網(wǎng)絡(luò)結(jié)構(gòu)，則需要在使用這些指南時進行適當?shù)男薷?。通用網(wǎng)絡(luò)結(jié)構(gòu)要求完成以下指南。在配置通用網(wǎng)絡(luò)結(jié)構(gòu)后，能夠使用任何其他的逐步式指南。注意，某些逐步式指南除具備通用網(wǎng)絡(luò)結(jié)構(gòu)要求外，可能還需要滿足額外的先決條件。任何額外的要求都將列在特定的逐步式指南中。MicrosoftVirtualPC能夠在物理實驗室環(huán)境中或通過虛擬化技術(shù)(如MicrosoftVirtualPC2004或MicrosoftVirtualServer2005)來實施WindowsServer2003部署逐步式指南。 借助于虛擬機技術(shù)，客戶能夠同時在一臺物理服務(wù)器上運行多個操作系統(tǒng)。VirtualPC

3、2004和VirtualServer2005確實是為了在軟件測試和開發(fā)、 舊版應(yīng)用程序遷移以及服務(wù)器整合方案中提升工作效率而設(shè)計的。WindowsServer2003部署逐步式指南假定所有配置差不多上在物理實驗室環(huán)境中完成的，但大多數(shù)配置不經(jīng)修改就能夠應(yīng)用于虛擬環(huán)境。將這些逐步式指南中提供的概念應(yīng)用于虛擬環(huán)境超出了本文的討論范疇。重要講明此處作為例子提到的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標、個人、地點和事件純屬虛構(gòu)，決不意指，也不應(yīng)由此臆測任何公司、組織、產(chǎn)品、域名、電子郵件地址、徽標、個人、地點或事件。此通用基礎(chǔ)結(jié)構(gòu)是為在專用網(wǎng)絡(luò)上使用而設(shè)計的。此通用結(jié)構(gòu)中使用的虛擬公司名稱和域名系

4、統(tǒng)(DNS)名稱并未注冊以便在Internet上使用。您不應(yīng)在公共網(wǎng)絡(luò)或Internet上使用此名稱。此通用結(jié)構(gòu)的ActiveDirectory服務(wù)結(jié)構(gòu)用于講明“WindowsServer2003更換和配置治理”如何與ActiveDirectory配合使用。不能將其作為任何組織進行ActiveDirectory配置的模型。概述Microsoft組策略治理操縱臺(GPMC)是一個用于組策略治理的新工具，它通過改進易治理性和提升效率關(guān)心治理員更經(jīng)濟有效地治理企業(yè)。它包含一個新的Microsoft治理操縱臺(MMC)治理單元和一組可編程接口。GPMC提供單一位置來治理組策略核心內(nèi)容，從而簡化了組策略

5、的治理。它能夠按照用戶需要提供以下功能來滿足最高的組策略部署要求。?使組策略更易于使用的用戶界面(UI)O?組策略對象(GPO)備份/還原。?GPO 導入/導出和復制/粘貼以及 WindowsManagementInstrumentation(WMI)選擇器。?簡化了對組策略有關(guān)安全功能的治理。?GPO 設(shè)置和策略白結(jié)果集(RSoP)數(shù)據(jù)的超文本標記語言(HTML)報告。?將此工具中提供的策略有關(guān)任務(wù)編制成腳本(而不是將 GPO 設(shè)置編制成腳本)。過去，治理員需要使用幾個Microsoft工具來治理組策略，如“ActiveDirectory用戶和運算機”、“ActiveDirectory站點和

6、服務(wù)”以及“策略的結(jié)果集”治理單元。GPMC將這些工具中提供的現(xiàn)有組策略功能以及一些新功能集成到一個統(tǒng)一的操縱臺中。GPMC中內(nèi)置了對多個域和林治理的支持，因此，治理員能夠方便地治理整個企業(yè)中的組策略。治理員能夠完全操縱在GPMC中列出哪些林和域，因而能夠只顯示環(huán)境的有關(guān)部分。先決條件安裝和配置GPMC安裝GPMC要安裝組策略治理操縱臺，請按照以下步驟操作:1 .在服務(wù)器HQCON-DC-01”上，掃瞄到包含gpmc.msi 的文件夾，雙擊gpmc.msi 程序包，然后單擊下一步。2.單擊我同意”，同意最終用戶許可協(xié)議(EULA),然后單擊下一步”。3.單擊完成”以完成 GPMC 安裝。在安裝

7、完成后，更新ActiveDirectory治理單元中站點、域和組織單位(OU)屬性頁上顯示的“組策略”選項卡以提供到GPMC的直截了當鏈接。由于所有組策略治理功能差不多上通過GPMC提供的，因此，無法再使用先前在原始“組策略”選項卡上提供的功能。要打開GPMC治理單元，請按照以下步驟操作：1.在服務(wù)器“HQCON-DC-01”上，單擊開始”按鈕，單擊運行”，鍵入“GPMC.msc”，然后單擊確定”。注意：此外，也能夠使用以下兩種方法之一啟動 GPMCo?在開始”菜單或操縱面板”中，單擊治理工具”文件夾中的組策略治理”快捷方式。?創(chuàng)建自定義的 MMC 操縱臺：單擊開始”按鈕，單擊運行”，鍵入“M

8、MC,然后單擊確定”。指向文件”，單擊添力口/刪除治理單元工然后單擊添加”。單擊以突出顯示組策略治理工單擊添加”，單擊關(guān)閉”，然后單擊確定”。為多個林配置GPMC您能夠方便地將多個林添加到GPMC操縱臺樹中。默認情形下，只有在某個林與運行GPMC的用戶林之間具有雙向信任關(guān)系時，才能將其添加到GPMC中。您能夠有選擇地承諾GPMC使用僅單向信任關(guān)系或全然不使用信任關(guān)系。通過突出顯示樹根名目中的“組策略治理”，從上下文菜單中選擇“操作”，然后單擊“添加林”，將另一個林添加到GPMC中。由于示例環(huán)境只包含單個林，因此，執(zhí)行這些步驟超出了本逐步式指南的討論范疇。注意：在添加不受信任的林時，將無法使用某

9、些功能。例如，不能使用“組策略建模”，同時無法打開“組策略對象編輯器”以編輯不受信任的林中的GPO。不受信任的林方案要緊用于支持跨林復制GPO。同時治理多個域GPMC支持同時治理多個域，同時每個域在操縱臺中是按林進行分組的。默認情形下，GPMC中只顯示一個域。在第一使用預(yù)配置的治理單元(gpmc.msc)或自定義MMC操縱臺啟動GPMC后，GPMC將顯示包含用于啟動GPMC的用戶帳戶的域。通過添加和刪除操縱臺中顯示的域，您能夠指定每個林中要使用GPMC治理的域。注意：即使您沒有整個林的林信任關(guān)系，您也可添加外部信任域。默認情形下，要添加的域和用戶對象域之間必須具有雙向信任關(guān)系。 也能夠通過使用

10、“查看”菜單中的“選項”對話框禁用GPMC的信任檢測功能，來添加具有單向信任關(guān)系的域。 要添加外部信任域， 您必須先使用“添加林”對話框，從包含外部信任域的林中添加一個域。在添加該林后，您可通過右鍵單擊該林的“域”節(jié)點，然后單擊“顯示域”，在該受信任的林中添加任何域。1.2.右鍵單擊域”，然后單擊顯示域3./-回力如恥I跳|圖 1.顯示域在GPMC的每個可用域中，可使用相同的域操縱器來完成該域中的所有操作。這包括位于該域中的GPO、OU、安全主體以及WMI選擇器上的所有操作。另外，在從GPMC中打開“組策略對象編輯器”時， 它始終將GPMC中的目標域操縱器用于GPO所在的域。GPMC承諾您為每

11、個域選擇使用哪個域操縱器。您能夠選擇四個選項之一。使用主域才縱器(PDC)模擬器(默認選項)。使用任何可用的域操縱器。使用運行 WindowsServer2003 家族操作系統(tǒng)的任何可用域操縱器。如果您要還原包含組策略軟件安裝設(shè)置的已刪除 GPO,該選項是專門有用的。使用指定的特定域操縱器。1.2.ShowDomalnrsShowDomalnrsSelectSelect3.單擊確定”連續(xù)。MC-OON-DC2vancwjpframMC-OON-DC2vancwjpfram卜皿5(615(615 50g0g3 3QunoetoQunoetor rL LP Pdomamcoriiolflwihdo

12、mamcoriiolflwihI IheDprafcnsheDprafcnsMasletMasletboienIwlliePOCboienIwlliePOCEHUEHUIICKCK占髀bkbkJ JOESOES* *國卅廣saiaMtkm$rtcooirolfsaiaMtkm$rtcooirolfr rMid0Mt20QTMid0Mt20QT I I足ThKjornwcontiThKjornwconti! ! Q QUAUA4no4noXane;_1fMLhephep匚E E|JUJDcmwiiaIaLhiMiidiDcmwiiaIaLhiMiidi IfrK|hMIfrK|hMCC! !r

13、re|e|IHUIIHUI用1小HiHilwhwAvrlwhwAvrWMIPWMIP、a aF FiHv.W0iHv.W0% %UvUv圖 5,確定 GPO 的作用域要檢查GPO將應(yīng)用的策略，請按照以下步驟操作：1.在DomainPasswordPolicy 結(jié)果窗格中，單擊設(shè)置”選項卡，然后單擊全部顯示現(xiàn)在將顯示所有已定義策略設(shè)置的摘要（如圖 6 所示），但不顯示未定義的設(shè)置。圖 6.檢查 GPO 設(shè)置GPO策略繼承和鏈接順序特定容器的“組策略繼承”選項卡顯示從父容器繼承的所有GPO（鏈接到站點上的GPO除外）。該選項卡中的“優(yōu)先”列顯示所有鏈接的總體優(yōu)先級（這些鏈接將應(yīng)用于該容器中的對象）

14、，并考慮“鏈接順序”和每個鏈接的“強制”屬性以及“阻止繼承”。要查看容器中的策略繼承，請按照以下步驟操作:置，則必須有一個和諧這些設(shè)置的機制。這種行為是由鏈接順序操縱的。鏈接順序編號越小，優(yōu)先級越高。特定容器鏈接的有關(guān)信息顯示在該容器的“鏈接的組策略對象”選項卡中。該窗格顯示是否強制進行鏈接，是否啟用鏈接，GPO狀態(tài)，是否應(yīng)用WMI選擇器，其修改時刻以及儲備它的域容器。委派了“將GPO鏈接到容器”權(quán)限的治理員或用戶能夠使用以下方法更換鏈接順序：突出顯示GPO鏈接，然后使用向上和向下箭頭，在鏈接順序列表中向上或向下移動鏈接。要更換容器中的策略鏈接順序，請按照以下步驟操作：1.在Headquart

15、ers 屏幕上，單擊鏈接的組策略對象”。2.在GPO 列下面，單擊LinkedPolicies,然后單擊鏈接順序”列左側(cè)的向上箭頭。完成后，HeadquartersOU面 GPO 的鏈接順序應(yīng)該如圖 8 所示方手中bRQJTigu.JiJi?14MV7MM7MM HQMrrHQMrrtawtawA AKiMltflKlKiMltflKl：CAbdCAbdllawllaw. .21_IlIl如果將多個GPO鏈接到相同的容器，同時這些GPO具有相同的設(shè)4Tg 概J庠LTM&rOw&Mi|LTM&rOw&Mi|llM.3mn3wWEadmFoillM.3mn3wWEadmFoi v v duii*i

16、duii*i備份GPOGPO備份操作將GPO中的數(shù)據(jù)復制到文件系統(tǒng)中。備份功能還具有GPO導出功能?？墒褂肎PO備份將GPO還原到已備份狀態(tài)，或者將備份中的設(shè)置導入到另一個GPO中。GPO備份操作將GPO內(nèi)部儲備的所有信息儲存到文件系統(tǒng)中。 其中包括以下內(nèi)容：?GPO 全局唯獨標識符（GUID）和域 GPO 設(shè)置?GPO 中的自由訪咨詢操縱列表（DACL）?WMI 選擇器鏈接（如果有的話），但不包括選擇器本身到 IP 安全策略的鏈接（如果有的話）GPO 設(shè)置的可擴展標記語言（XML）報告（可將其視為 GPMC 中的 HTML）備份的日期和時刻戳用戶提供的備份講明業(yè)：-j：ir-八r1*533f

17、cHMJ第TnI.MMgTnI.MMg1JGPO備份、還原、復制以及導入-J-JO O* *U UIQ：y4444T T出r*r*M MI Ir-r-IGPO備份操作只儲存在GPO中儲備的數(shù)據(jù)。 在GPO不處儲備的數(shù)據(jù)包括以下內(nèi)容：?到站點、域或 OU 的鏈接?WMI 選擇器?IP 安全策略在將備份還原到原始GPO或?qū)胄翯PO時，該數(shù)據(jù)不可用。要備份“DomainPasswordPolicy”GPO,請按照以下步驟操作：1.2.在組策略對象”文件夾中，右鍵單擊“DomainPasswordPolicy”GM 單擊備份”。3.在備份組策略對象”對話框中，鍵入c:windows作為位置，鍵入Do

18、mainPasswordPolicyBackup 作為描述工然后單擊備份工4.在備份完成后，單擊確定”連續(xù)。治理備份能夠?qū)⒍鄠€相同或不同的GPO備份儲備在相同的文件系統(tǒng)位置中。每個備份都使用唯獨的備份ID來標識。能夠使用GPMC中的“治理備份”對話框或通過可編程接口來治理特定文件系統(tǒng)位置中的備份集合。 可通過右鍵單擊特定域中的“域”節(jié)點或“組策略對象”節(jié)點來訪咨詢“治理備份”對話框。 在從“組策略對象”節(jié)點中打開“治理備份”時， 就會自動對視圖進行選擇， 以便只顯示該域的GPO備份。 在從“域”節(jié)點中打開“治理備份”對話框時，將會顯示所有備份（不管備份來自哪個域）。要治理可用的GPO備份，請按

19、照以下步驟操作：圖 9.治理備份2.在治理備份窗口中，單擊以突出顯示先前創(chuàng)建的DomainPasswordPolicyBackup,然后單擊查看設(shè)置3.查看詳細的 GPO 信息，然后關(guān)閉InternetExplorer。從備份還原GPO還原操作從備份數(shù)據(jù)中重新創(chuàng)建GPO。 能夠在下列兩種情形下使用還原操作：備份了GPO但以后將其刪除； 或GPO處于活動狀態(tài)， 同時您要回滾到先前的已知狀態(tài)。還原操作將替代以下GPO組件。?GPO 設(shè)置?GPO 上的 DACL?WMI 選擇器鏈接（但不包括選擇器本身）還原操作只能還原屬于GPO的對象，其中包括到站點、域或OU的鏈接、WMI選擇器以及IPSec策略。

20、要還原“DomainPasswordPolicy”GPO,請按照以下步驟操作：1.在治理備份”窗口中，單擊還原”。2.在顯現(xiàn)提示時，單擊確定”還原選定的備份。3.在 GPO 還原完成后，單擊確定4.在治理備份”對話框中，單擊關(guān)閉”。復制GPO您能夠使用復制操作，將ActiveDirectory中現(xiàn)有GPO的設(shè)置直截了當傳送到新的GPO中。將為復制操作期間創(chuàng)建的新GPO指定一個新的GUID,同時將其解除鏈接。能夠使用復制操作，將設(shè)置傳送到相同域、相同林的其他域或其他林的域中的新GPO。因為復制操作將ActiveDirectory中的現(xiàn)有GPO作為源，因此源和目標域之間需要具有信任關(guān)系。復制操作適

21、用于在生產(chǎn)環(huán)境之間移動組策略。 只要源和目標域之間具有信任關(guān)系， 就能夠使用這些操作將測試域或林中通過測試的組策略遷移到生產(chǎn)環(huán)境中。要復制GPO,請按照以下步驟操作：1.2.3.右鍵單擊組策略對象”，然后單擊粘貼”。4.在跨域復制向?qū)А敝?，單擊下一步”連續(xù)。5.在指定權(quán)限”屏幕上，選擇新 GPO 使用默認權(quán)限”（默認），如圖 10 所示，然后單擊下一步圖 10.跨域復制向?qū)?.在掃描完原始 GPO 后，單擊下一步”連續(xù)。7 .在完成跨域復制向?qū)А逼聊簧希瑱z查設(shè)置，然后單擊完成8.在完成復制操作后，單擊確定”。1.導入GPO導入操作使用文件系統(tǒng)位置中的已備份GPO作為其源，將設(shè)置傳送到Activ

22、eDirectory中的現(xiàn)有GPO。能夠使用導入操作，將一個GPO的設(shè)置傳送到相同域中的其他GPO、相同林中其他域的GPO、或不同林中域的GPO。導入操作始終將已備份設(shè)置放在現(xiàn)有的GPO中。它會清除目標GPO中預(yù)先存在的任何設(shè)置。 導入并不要求源域和目標域之間具有信任關(guān)系， 因此，專門適用于在沒有信任關(guān)系的林和域之間傳送設(shè)置。 將設(shè)置導入到GPO并可不能阻礙其DACL;也可不能阻礙站點、域或OU到該GPO的鏈接或者到WMI選擇器的鏈接。1.2.在新建 GPO對話框中，鍵入DomainPasswordPolicy 作為名稱，然后單擊確定”。3.4.在導入設(shè)置向?qū)А敝?，單擊下一步”連續(xù)。5.在備份