WindowsServer2003中的组策略功能集.doc

了解组策略功能集分步指南 本分步指南简要介绍“组策略”，并说明如何使用“组策略”管理单元来指定用户和计算机组的策略设置。 本页内容 简介 概述 组策略和 Microsoft 管理控制台 附录 其他资源 简介 逐步式指南 Microsoft Windows Server 2003 部署分步指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构：安装 Windows Server 2003；配置 Active Directory?；安装 Windows XP Professional 工作站并最终将此工作站添加到域中。后续分步指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。 通用网络结构要求完成以下指南。 ? 第一部分：将 Windows Server 2003 安装为域控制器 ? 第二部分：安装 Windows XP Professional 工作站并将其连接到域 在配置通用网络结构后，可以使用任何其他分步指南。注意，某些分步指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的分步指南中。 Microsoft Virtual PC 可以在物理实验室环境中或通过虚拟化技术（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）来实施 Windows Server 2003 部署分步指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。 Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。 这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。 重要说明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，我们决无意影射，任何人也不应由此臆猜，任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。 此通用基础结构是为在专用网络上使用而设计的。此通用基础结构中使用的虚拟公司名称和域名服务 (DNS) 名称并没有为在 Internet 上使用而进行注册。您不应在公共网络或 Internet 上使用此名称。 此通用基础结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置的模型。 返回页首 概述 组策略设置定义了需要由系统管理员管理的用户桌面环境中的各种组件；例如，用户可以使用的程序、出现在用户桌面上的程序以及「开始」菜单选项。您指定的组策略设置包含在一个组策略对象 (GPO) 中，该组策略对象又与选定的 Active Directory 对象（站点、域或者组织单位 (OU)）关联。 组策略不仅应用于用户和客户端计算机，而且还应用于在管理范围内的成员服务器、域控制器和任何其他 Windows Server 2003 计算机。默认情况下，应用于域的组策略（即，就在“Active Directory 用户和计算机”根目录上面的域级别应用）影响该域中的所有计算机和用户。“Active Directory 用户和计算机”还提供了内置的域控制器 OU。如果在此处保存您的域控制器帐户，则可以使用 GPO 默认域控制器策略，将域控制器与其他计算机分开进行管理。 GPO 链接到 Active Directory 中的站点、域和 OU 容器。默认的优先级顺序遵循 Active Directory 的分层结构特性：先是站点，然后是域，最后是每个 OU。一个 GPO 可以与多个 Active Directory 容器关联，或者说多个容器可以链接到一个 GPO。 可以使用 GPO 基于安全组成员身份来筛选对象，这样，管理员就可以按集中方式或分散方式来管理计算机和用户。为此，管理员可以使用基于安全组的筛选来定义组策略管理的作用域，以便在域级别集中应用组策略。也可以在 OU 级别按分散方式来应用组策略，然后再次按安全组对其进行筛选。管理员可以在组策略中使用安全组来执行以下操作： ? 筛选 GPO 的作用域。这定义了受 GPO 影响的用户和计算机组。 ? 委派对 GPO 的控制。管理和委派组策略包括两个方面：管理组策略链接和管理创建和编辑 GPO 的人员。