Windows Server 中的组策略功能集.docx
- 文档编号:5268727
- 上传时间:2022-12-14
- 格式:DOCX
- 页数:43
- 大小:390.06KB
Windows Server 中的组策略功能集.docx
《Windows Server 中的组策略功能集.docx》由会员分享,可在线阅读,更多相关《Windows Server 中的组策略功能集.docx(43页珍藏版)》请在冰豆网上搜索。
WindowsServer中的组策略功能集
了解组策略功能集分步指南
本分步指南简要介绍“组策略”,并说明如何使用“组策略”管理单元来指定用户和计算机组的策略设置。
本页内容
简介
概述
组策略和Microsoft管理控制台
附录
其他资源
简介
逐步式指南
MicrosoftWindowsServer2003部署分步指南提供了很多常见操作系统配置的实际操作经验。
本指南首先介绍通过以下过程来建立通用网络结构:
安装WindowsServer2003;配置ActiveDirectory®;安装WindowsXPProfessional工作站并最终将此工作站添加到域中。
后续分步指南假定您已建立了此通用网络结构。
如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
•
第一部分:
将WindowsServer2003安装为域控制器
•
第二部分:
安装WindowsXPProfessional工作站并将其连接到域
在配置通用网络结构后,可以使用任何其他分步指南。
注意,某些分步指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。
任何额外的要求都将列在特定的分步指南中。
MicrosoftVirtualPC
可以在物理实验室环境中或通过虚拟化技术(如MicrosoftVirtualPC2004或MicrosoftVirtualServer2005)来实施WindowsServer2003部署分步指南。
借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。
VirtualPC2004和VirtualServer2005就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。
WindowsServer2003部署分步指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。
这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。
重要说明
此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,我们决无意影射,任何人也不应由此臆猜,任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。
此通用基础结构中使用的虚拟公司名称和域名服务(DNS)名称并没有为在Internet上使用而进行注册。
您不应在公共网络或Internet上使用此名称。
此通用基础结构的ActiveDirectory服务结构用于说明“WindowsServer2003更改和配置管理”如何与ActiveDirectory配合使用。
不能将其作为任何组织进行ActiveDirectory配置的模型。
返回页首
概述
组策略设置定义了需要由系统管理员管理的用户桌面环境中的各种组件;例如,用户可以使用的程序、出现在用户桌面上的程序以及「开始」菜单选项。
您指定的组策略设置包含在一个组策略对象(GPO)中,该组策略对象又与选定的ActiveDirectory对象(站点、域或者组织单位(OU))关联。
组策略不仅应用于用户和客户端计算机,而且还应用于在管理范围内的成员服务器、域控制器和任何其他WindowsServer2003计算机。
默认情况下,应用于域的组策略(即,就在“ActiveDirectory用户和计算机”根目录上面的域级别应用)影响该域中的所有计算机和用户。
“ActiveDirectory用户和计算机”还提供了内置的域控制器OU。
如果在此处保存您的域控制器帐户,则可以使用GPO默认域控制器策略,将域控制器与其他计算机分开进行管理。
GPO链接到ActiveDirectory中的站点、域和OU容器。
默认的优先级顺序遵循ActiveDirectory的分层结构特性:
先是站点,然后是域,最后是每个OU。
一个GPO可以与多个ActiveDirectory容器关联,或者说多个容器可以链接到一个GPO。
可以使用GPO基于安全组成员身份来筛选对象,这样,管理员就可以按集中方式或分散方式来管理计算机和用户。
为此,管理员可以使用基于安全组的筛选来定义组策略管理的作用域,以便在域级别集中应用组策略。
也可以在OU级别按分散方式来应用组策略,然后再次按安全组对其进行筛选。
管理员可以在组策略中使用安全组来执行以下操作:
•
筛选GPO的作用域。
这定义了受GPO影响的用户和计算机组。
•
委派对GPO的控制。
管理和委派组策略包括两个方面:
管理组策略链接和管理创建和编辑GPO的人员。
可以使用几种管理工具来管理组策略设置,其中包括:
•
“组策略对象编辑器Microsoft管理控制台(MMC)”管理单元
•
WindowsServer2003中的默认MMC管理单元以及在本分步指南中使用的MMC管理单元。
•
带有ServicePack1的组策略管理控制台(GPMC)
•
GPMC通过简化组策略的管理扩展了默认组策略对象编辑器,从而更容易了解、部署、管理组策略的实施和对组策略的实施进行故障排除。
GPMC还允许通过脚本自动完成组策略操作。
有关更多信息,请参见关于组策略管理控制台使用的分步指南。
•
提供其他策略设置的第三方扩展
组策略包括影响用户的“用户配置”策略设置,以及影响计算机的“计算机配置”策略设置。
通过使用组策略,您可以执行以下操作:
•
使用“管理模板”管理基于注册表的策略。
组策略创建一个包含注册表设置的文件,这些设置将写到注册表数据库的“User”或“LocalMachine”部分。
•
分配脚本。
这包括诸如计算机启动、关机、登录和注销之类的脚本。
•
重定向文件夹。
您可以将“MyDocuments”和“MyPictures”等文件夹从本地计算机上的“DocumentsandSettings”文件夹重定向到网络位置。
•
管理应用程序。
您可以通过使用“组策略软件安装”来分配、发布、更新或修复应用程序。
•
指定安全选项。
本文简要介绍“组策略”,并说明如何使用“组策略”管理单元来指定用户和计算机组的策略设置。
先决条件
•
第一部分:
将WindowsServer2003安装为域控制器
•
ActiveDirectory管理分步指南
指南要求
注意:
本文并没有对所有可能出现的组策略方案全部予以介绍。
应当使用此操作说明集来帮助您了解组策略的工作方式,帮助您考虑您的组织如何使用组策略来降低其IT管理成本。
其他WindowsServer2003功能(包括“安全设置”和“软件安装和维护”)都建立在组策略的基础之上。
有关可用文档的完整列表,请参见WindowsServer2003中的组策略Web站点。
返回页首
组策略和Microsoft管理控制台
组策略通过MMC管理单元扩展机制与ActiveDirectory管理工具直接集成在一起。
ActiveDirectory管理单元设置了组策略管理的作用域。
最常见的组策略访问方法是使用“ActiveDirectory用户和计算机”管理单元将管理作用域设置为域和OU。
您也可以使用“ActiveDirectory站点和服务”管理单元将管理作用域设置为站点。
可以从“管理工具”程序组中访问这两个工具;这两个工具中都启用了“组策略”管理单元扩展。
另外,也可以创建自定义的MMC控制台(如下一节所述)。
配置自定义控制台
本文中的示例使用自定义的MMC控制台,您可以按照本节中所述的过程来创建该控制台。
您需要先创建此自定义控制台,然后再尝试执行本文中的其他过程。
要配置自定义控制台,请按照以下步骤操作:
1.
以“administrator@”的身份登录到“HQ-CON-DC-01”上。
2.
单击“开始”按钮,单击“运行”,键入“mmc”,然后单击“确定”。
3.
在“控制台1”窗口中,单击“文件”,然后单击“添加/删除管理单元”。
4.
在“添加/删除管理单元”对话框中,单击“添加”。
5.
在“添加独立管理单元”对话框的“可用的独立管理单元”列表框中,单击“ActiveDirectory用户和计算机”,然后单击“添加”。
6.
在“可用的独立管理单元”列表框中双击“ActiveDirectory站点和服务”管理单元。
7.
向下滚动,然后双击“组策略对象编辑器”。
8.
在“选择组策略对象”对话框中,确保选中了“组策略对象”下面的“本地计算机”。
单击“完成”,然后单击“关闭”。
9.
在“添加/删除管理单元”对话框中,单击“扩展”选项卡。
确保为添加到MMC控制台中的每个主扩展选择了“添加所有扩展”复选框(它们是默认选中的)。
单击“确定”。
要保存控制台更改,请按照以下步骤操作:
1.
在MMC控制台中,单击“文件”,然后单击“保存”。
2.
在“保存为”对话框的“文件名”文本框中,键入“GPWalkThrough”,然后单击“保存”。
控制台应该如图1所示。
图1.组策略MMC控制台
访问组策略
您可以使用相应的ActiveDirectory工具来访问组策略,但可以将焦点放在任何站点、域或OU。
要从“ActiveDirectory站点和服务”中打开组策略,请按照以下步骤操作:
1.
在“GPWalkthrough”MMC控制台的控制台树中,单击“ActiveDirectory站点和服务”旁边的“+”号。
2.
在控制台树中,单击“Sites”旁边的“+”号,然后右键单击“Default-First-Site-Name”。
3.
单击“属性”,然后单击“组策略”选项卡。
4.
单击“取消”。
要从“ActiveDirectory用户和计算机”中打开组策略,请按照以下步骤操作:
1.
在“GPWalkthrough”MMC控制台的控制台树中,单击“ActiveDirectory用户和计算机”旁边的“+”号。
2.
在控制台树中,右键单击“”以访问组策略。
3.
单击“属性”,然后单击“组策略”选项卡。
4.
单击“取消”。
要访问作用域为特定计算机(或本地计算机)的组策略,您必须在针对特定计算机(或本地计算机)的MMC控制台名称空间中加载“组策略”管理单元。
出现这些差异主要有两个原因:
•
站点、域和OU可以链接多个GPO;这些GPO需要使用中间的属性页来管理它们。
•
特定计算机的GPO存储在该计算机中,而不是存储在ActiveDirectory中。
创建组策略对象
组策略设置包含在GPO中,这些GPO分别链接到选定的ActiveDirectory对象(如站点、域或OU)上。
要创建新的GPO并将其链接到“Headquarters”OU上,请按照以下步骤操作:
1.
在“GPWalkThrough”MMC中,展开“ActiveDirectory用户和计算机”下面的“”。
2.
单击“Accounts”旁边的“+”号以展开该树。
3.
右键单击“Headquarters”,然后单击“属性”。
4.
在“Headquarters属性”页上,单击“组策略”选项卡。
5.
单击“新建”,键入“HQPolicy”,然后按“Enter”键。
“Headquarters属性”页如图2所示。
图2.链接到“Headquarters”OU上的新GPO
上述步骤说明如何创建GPO并自动将其链接到某个ActiveDirectory容器上,即“Headquarters”OU。
然而,在定义GPO的各种设置之前,GPO对用户或计算机并没有直接的影响。
下一节说明如何编辑“HQPolicy”GPO设置。
可以在任何ActiveDirectory容器下面创建和/或链接多个GPO。
如果多个GPO与某个ActiveDirectory容器关联,则必须确保GPO的顺序正确无误。
GPO在列表中的位置越高,其优先级越高,优先级最高的GPO在最后处理。
(这就赋予它们一个较高的优先级。
)
GPO是对象;每个GPO都有用于查看其属性的上下文菜单。
您可以使用上下文菜单来获取并修改有关GPO的常规信息。
此信息包括自由访问控制列表(DACL),并列出此GPO链接到的其他站点、域或OU。
最佳做法:
您可以通过安全组中的用户或计算机成员身份来进一步优化GPO,方法是基于该成员身份来设置DACL。
有关使用DACL的信息,请参见“安全组筛选”一节。
管理组策略
要管理组策略,请按照以下步骤操作:
•
访问站点、域或OU的上下文菜单
•
选择“属性”,然后单击“组策略”选项卡。
这将显示“组策略属性”页。
注意“组策略属性”页的以下事项。
•
此页显示已与当前选定站点、域或OU相关联的任何GPO。
链接是对象;它们具有上下文菜单,可通过右键单击对象来访问该菜单。
(右键单击空白部分可显示一个上下文菜单,它用于创建新链接、添加链接或刷新列表。
)
•
此页还显示一个有序GPO列表,优先级最高的GPO在列表的顶部。
您可以通过选择GPO,然后使用上箭头键或下箭头键来更改列表顺序。
•
要关联(链接)某个GPO,请单击“添加”按钮。
•
要编辑列表中的现有GPO,请选择该GPO,然后单击“编辑”按钮,或双击该GPO。
这将启动“组策略对象编辑器”,您可以在其中修改该GPO。
有关修改GPO的更多信息,请参见“编辑组策略对象”。
•
要从列表中永久性地删除某个GPO,请从列表中选择该GPO,然后单击“删除”按钮。
在出现相应提示时,选择“移除链接并将组策略对象永久删除”。
在删除GPO时一定要小心,因为它可能与其他的站点、域或OU关联。
如果您只想删除GPO与当前容器的关联,请从链接列表中选择该GPO,单击“删除”,然后在出现相应提示时选择“从列表中移除链接”。
•
要确定与给定GPO关联的其他站点、域或OU,请右键单击该GPO,从上下文菜单中选择“属性”,然后单击“GPO属性”页上的“链接”选项卡。
单击“开始查找”以检索此GPO的当前链接列表。
•
通过右键单击该GPO,您可以设置“禁止替代”选项。
此选项标记选定的GPO,以使其策略不会被其他GPO替代。
注意:
您可以在多个GPO上启用“禁止替代”选项。
所有标记为“禁止替代”的GPO优先于所有其他未标记的GPO。
在标记为“禁止替代”的那些GPO中,优先级最高的GPO将在所有其他具有相同标记的GPO后面应用。
•
通过右键单击该GPO,您可以将该GPO设置为“已禁用”,它只禁用(停用)该GPO而不会将其从列表中删除。
注意:
也可以只禁用GPO的“用户”或“计算机”部分。
为此,请右键单击该GPO,单击“属性”,然后在“常规”选项卡上,单击“禁用计算机配置设置”或“禁用用户配置设置”。
•
在ActiveDirectory容器的“组策略属性”页上,您可以设置“阻止策略继承”,以禁用在分层结构中处于较高位置的所有GPO。
然而,它无法阻止使用“禁止替代”复选框强制实施的任何GPO;这些GPO总是会得到应用。
注意:
如果本地GPO内包含的策略设置没有明确被基于域的策略设置替代,则始终应用这些设置。
在任何级别进行的“阻止策略继承”都不会删除本地策略。
编辑组策略对象
您可以使用先前创建的“GPWalkThrough”自定义控制台来编辑GPO。
要编辑HQPolicyGPO,请按照以下步骤操作:
1.
在“GPWalkThrough”MMC控制台中,双击“HQPolicy”GPO(或突出显示它,然后单击“编辑”)。
这将打开“组策略对象编辑器”供您用来编辑HQPolicy。
它应该如图3所示。
图3.HQPolicy
查看大图
2.
关闭“HQPolicy”的“组策略对象编辑器”。
添加或浏览组策略对象
要添加GPO,请按照以下步骤操作:
1.
在“Headquarters属性”页的“组策略”选项卡中,单击“添加”。
此时将出现“添加组策略对象链接”对话框,其中列出了当前与域/OU和与站点关联的GPO或ActiveDirectory结构内存在的所有GPO。
图4说明了此对话框。
图4.添加组策略对象链接
检查“添加组策略对象链接”对话框的以下组件,然后关闭该对话框。
•
“查找范围”下拉框,用于浏览整个ActiveDirectory结构以查找某个GPO。
在更改此框中的值时,GPO和所有子对象将显示在结果窗格中。
•
在“域/OUs”选项卡上,列表框将显示子OU及当前选定域或OU的GPO。
要浏览分层结构,请双击某个子OU或使用“向上一层”工具栏按钮。
•
在“站点”选项卡上,将显示与选定站点关联的所有GPO。
请使用下拉列表来选择其他站点。
站点没有分层结构。
•
“全部”选项卡显示在选定域中存储的所有GPO的平面列表。
如果您知道要选择的GPO的名称,但不知道其当前关联的位置,这种方法非常有用。
这也是唯一用来创建没有站点、域或OU链接的GPO的地方。
•
要在“全部”选项卡上创建未链接的GPO,请选择“创建新的组策略对象”工具栏按钮,或者右键单击空白部分,然后单击“新建”。
命名新的GPO,按“Enter”键,然后单击“取消”;不要单击“确定”。
如果单击“确定”,则会将新GPO链接到当前站点、域或OU。
单击“取消”将创建未链接的GPO。
•
要将某个GPO与当前选定的域或OU关联,请双击所需的GPO。
注意:
两个或多个GPO可以具有相同的名称。
这是设计使然,由于GPO实际上是作为全局唯一标识符(GUID)进行存储的,因而可能会出现这种情况。
所示的显示名称实际上是在ActiveDirectory中存储的友好名称。
基于注册表的策略
可通过“管理模板(.adm)”文件来访问基于注册表的策略的用户界面。
这些文件描述了在“组策略”管理单元的“管理模板”节点中显示的用户界面。
这些文件的格式与MicrosoftWindowsNT®4.0中的系统策略编辑器工具(Poledit.exe)使用的.adm文件兼容。
在WindowsServer2003中,已经扩展了基于注册表的策略中的可用选项。
注意:
虽然可以将任何.adm文件添加到GPO中,但如果您使用旧版本Windows中的.adm文件,则这些注册表项在WindowsServer2003中无效。
默认情况下,只显示在批准的组策略树上存在的已加载.adm文件中定义的那些策略设置;这些设置称为“真正的策略”。
这意味着,“组策略”管理单元不显示.adm文件中描述的某些项:
这些项在“组策略”树以外设置注册表项;这些项称为组策略首选项。
首选项用红色图标表示以区别于真正的策略,真正的策略用蓝色图标表示。
批准的组策略树为:
•
\Software\Policies
•
\Software\Microsoft\Windows\CurrentVersion\Policies
注意:
由于以前提到的永久性注册表设置行为,强烈建议不要在组策略结构中使用非策略项。
要在WindowsNT4.0、Windows95和Windows98客户端上设置注册表策略,请使用WindowsNT4.0系统策略编辑器工具Poledit.exe。
默认情况下会加载conf.adm、inetres.adm、system.adm、wmplayer.adm和wuau.adm文件,这些文件可用于图5所示的配置。
图5.用户配置
默认.adm文件提供以下配置选项。
•
Conf.adm:
NetMeeting设置
•
Inetres.adm:
InternetExplorer设置
•
System.adm:
操作系统设置
•
wmplayer.adm:
WindowsMediaPlayer设置
•
wuau.adm:
WindowsUpdate设置
添加管理模板
管理模板(.adm文件)包含由类别和子类别组成的分层结构,这些类别和子类别共同定义了在“组策略”用户界面中组织选项的方式。
要添加管理模板(.adm文件),请按照以下步骤操作:
1.
在“Headquarters属性”页上,双击“HQPolicy”GPO。
2.
在“用户配置”或“计算机配置”下面,右键单击“管理模板”,然后单击“添加/删除模板”。
这将显示此ActiveDirectory容器的当前活动模板文件的列表。
3.
单击“添加”。
这将显示正在运行组策略的计算机上%systemroot%\inf目录中的可用.adm文件的列表。
您可以从另一个位置选择.adm文件。
选定后,.adm文件就可用于GPO内进行的配置了。
4.
单击“取消”,然后单击“关闭”。
(在这些练习中将不添加任何管理模板。
)
配置管理模板
以下步骤提供了一个简单示例,它使用管理模板从用户桌面中删除“运行”命令。
您应该熟悉“管理模板”中提供的所有可用设置。
本系列中的其他分步指南将使用“管理模板”中的可用设置。
要使用管理模板设置基于注册表的设置,请按照以下步骤操作:
1.
在“HQPolicy”GPO的组策略对象编辑器中,单击“用户配置”节点中“管理模板”旁边的“+”号。
2.
单击“任务栏和「开始」菜单”。
注意,详细信息窗格将所有策略显示为“未被配置”。
3.
在右窗格中,双击“从「开始」菜单中删除‘运行’菜单”策略。
4.
在“从「开始」菜单中删除‘运行’菜单”对话框中,单击“已启用”(如图6所示)。
单击“确定”以完成操作。
图6.从「开始」菜单中删除“运行”菜单
请注意对话框中的“上一设置”和“下一设置”按钮。
您可以使用这些按钮来浏览详细信息窗格以设置其他策略的状态。
您也可以将此对话框保持打开,并在“组策略”管理单元详细信息窗格中单击另一个策略。
在详细信息窗格获得焦点后,您可以使用键盘上的上箭头键和下箭头键并按“Enter”键,快速浏览选定节点中每个策略的设置(或“说明”选项卡)。
注意,详细信息窗格的“设置”列中状态变为“已启用”。
这一变化是即刻发生的;它已保存到GPO中。
如果您处于一个复制的域控制器环境中,则此操作设置的标记将触发一个复制周期。
如果您以“Headquarters”OU中的用户身份登录到“”域中的某个工作站,则会注意到“运行”菜单已删除。
注意:
此时,您可能想试用其他的可用策略。
请查看“说明”选项卡中的文本,了解每个策略的相关信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows Server 中的组策略功能集 中的 策略 功能