活动目录对象和组策略[精选].pptVIP

选择要指派的软件包 部署软件 组策略编辑器里可以看到指派的程序 2. 管理脚本 Windows Server 2003组策略在指定脚本时有很大的灵活性。可以为计算机指派启动和关机脚本，在Windows Server 2003启动和关机时执行。还可以为用户指派登录和注销脚本，Windows Server 2003在用户登录或注销时执行。 可以使用的脚本包括Windows NT批处理文件（.bat成．cmd），Windows Scripting Host的VBScript（.vbs）或Jscripts（.js）文件。 指派脚本 添加脚本 3. 管理安全设置 计算机安全策略包括不同的策略范围、管理权力和用户权限。 在Windows Server 2003中定义两种安全策略类型：域安全策略和计算机安全策略（即本地安全策略）。 不属于Windows Server 2003域中的计算机只受计算机安全策略影响。而对于域中的计算机，计算机安全策略首先生效，然后是域安全策略生效。 安全策略的配置类型 账户策略 本地策略 事件日志 受限制组 系统服务 注册表 公钥策略 在活动目录服务上的IP安全策略 4. 管理管理模板 在Windows Server 2003中，组策略管理器中的管理模板扩展使用管理模板文件（.adm）指定可以通过组策略管理单元修改的注册表设置。每一个策略列出相应的策略设置，作用于相应的站点、域或OU。 在管理模板下面列出的策略表示基于注册表的组策略设置。管理模板可以控制Windows Server 2003操作系统及其应用程序、组件的多种行为。这些设置写入到注册表数据库的 HYEY_LOCAL_MACHINE或HKEY_CURRENT_USER部分。 管理模板文件介绍 .adm文件是一个Unicode文本文件（Windows Server 2003支持Unicode.adm文件）。这个文件指定一个类别和子类别的层次结构，表现各部件是如何组织在一起的。它还表示选项更改的具体注册表位置，选项关联的相应的选项和限制，有时还表明活动选项缺省的值。 缺省情况下，3个.adm文件：System.adm、Inetres.adm和Conf.adm，一起包含了对应于Windows Server 2003操作系统客户的450多个设置，这3个文件被安装在组策略控制台上。Inetres.adm包含有对于Internet Explorer的设置，System.adm有广泛范围的设置，Conf.adm则包含有对于Microsoft NetMeeting设置，在缺省情况下它将不被加载。 四、 更改组作用域 创建新组时，在默认情况下，新组配置为具有全局作用域的安全组，而与当前域功能级别无关。 全局到通用：只有当要更改的组不是另一个全局作用域组的成员时，允许进行该转换。 本地域到通用：只有当要更改的组没有另一个本地域组作为其成员时，允许进行该转换。 通用到全局：只有当要更改的组没有另一个通用组作为其成员时，允许进行该转换。 通用到本地域：该操作没有限制。 五、创建域模式中的组 用Administrators组或Account Operators组的成员身份登录。“开始”→“管理工具” →“Active Directory用户和计算机” 新建对象——组 右击Users图标，在弹出的菜单中选择“新建” →“组” Active Directory用户和计算机 ——看到创建的组 六、管理组 添加组成员 七、 删除组 在Active Directory服务中创建的每个组对象都有一个惟一的、不可重复使用的标识符，称为security identifier（SID，安全标识符）。Windows Server 2003使用SID来标识分配给它的组和权限。当删除一个组时，Windows Server 2003将不再为该组使用相同的SID，即便创建一个与所删除组名称相同的新组。因此，不能通过重新创建组对象来恢复对资源的访问。当删除一个组时，只删除了该组和与该组相关的权限。删除一个组并不删除作为组成员的对象。 八、使用“运行方式”启动程序 为获得最优安全性，不要将网络管理员每天访问使用的用户对象添加为Administrators组成员。 若要运行需要以Administrator身份登录的程序，可以使用“运行方式”程序。 找到需要用管理员身份打开的程序或其快捷方式、MMC控制台或控制面板工具。按下“Shift”键，并右击，从弹出的菜单中选择“运行方式” 。 选择程序的运行身份 第三节 默认组