组策略1.pptVIP

不必在其他部门的管理单位中重复添加同一个GPO，只要点击“添加”… 找到统一配置的GPO…. 一个组策略对象，是可以被“链接”到多个位置的。 使组策略失效有两种方式…. 1、打断链接（以后还可以再添加进来）2、彻底删除（以后不可以再添加进来） 移除以后，该GPO对该组织单位的所有影响消失 当有多个GPO同时存在，则位置较高的GPO具有较高的“优先级”。可用“向上、下”键调整 a a a a a a a a a a a a * * 企业的组织结构与“域模型”的关系 某企业的组织结构可分为五个部分 其网络的逻辑结构如上图所示 网络管理中心 管理部门 生产部门 供销部门 技术部门 财务部门 其内网物理结构，可如上图所示： switch switch switch switch switch switch console DC1+DNS1 DC2 WEB DHCP1 ASF CERT FTP FILE PRNT DHCP2 DNS2 Email Manage dept Manufacture dept Market dept Technic dept Finance dept DC Member Server Client FILE 组策略的设置位置问题 当组织内部管理要求比较单一时，可用“单一域策略” switch switch switch switch switch switch console DC1+DNS1 DC2 WEB DHCP1 FILE CERT FTP ASF PRNT DHCP2 DNS2 Email Manage dept Manufacture dept Market dept Technic dept Finance dept DC Member Server Client FILE 单一域策略 -----组策略作用域 一般企业可以按照不同层次、角色配置不同组策略 switch switch switch switch switch switch console DC1+DNS1 DC2 WEB DHCP1 FILE CERT FTP ASF PRNT DHCP2 DNS2 Email Manage dept Manufacture dept Market dept Technic dept Finance dept DC策略 Member Server策略 Client FILE ----域策略 ----OU策略 ----DC策略 ----成员服务器策略 特殊企业可以按照不同部门的安全性，服务器的不同要求，配置各自不同的组策略 switch switch switch switch switch switch console DC1+DNS1 DC2 WEB DHCP1 FILE CERT FTP ASF PRNT DHCP2 DNS2 Email Manage dept Manufacture dept Market dept Technic dept Finance dept DC策略 Member Server策略 Client FILE 以一般的“单域多层次”模型为例 Server1:活动目录：域属性：新建“组织单位” “成员服务器”组织单元 创建完成（注意图标） 再为管理、生产、供销（市场）、技术、财务等部门创建相应“组织单元”。注意：组织单元“域控制器”是自动默认建立的。 域： 中包含了所有“活动目录容器”。容器分两种：一般“容器”和“组织单位” 组织单位的属性中有“组策略”选卡，可以设置组策略 该组策略的应用范围是：该容器内所有成员 而一般容器的属性中，没有“组策略”选卡，无法设置组策略 组策略只能在“本地（L）”、 “站点（S）”、 “域（D）”、 “组织单位（OU）”上设置。（LSDOU）这也是策略生效的顺序 在每一个部门的组织单元里建立所有部门成员的账户…和一个包含有所有成员的组 包含有所有成员的组 把 computers 里面的 2003server2 移动到… 移动到组织单位：Member Servers 中 在该管理单位设置的组策略，对所有成员服务器生效 对其他部门的管理单位也作相应设置 在域已有默认域策略存在，但也可以建自定义组策略对象（GPO）:domain test。并编辑… 例如，使全体域用户获得“关闭系统”的权限（默认情况：一般用户无法关闭系统） 在“域控制器”里已有默认“域控制器策略”存在，但如果有需要，也可以建自定义GPO： DC test。 在“Member Servers”上建组策略：Member Servers test,可根据需要进行设置 可以为每一部门设置单独的 GPO… 也可以为所有部门设置同一个GPO：OU test… *