网管员必读——网络管理(第2版)第七章节.pptVIP

第七章 组策略管理 本章将以新的GPMC工具为例介绍组策略的管理。  本章重点如下： 组策略的主要用途 组策略的执行顺序 GPMC的基本使用方法 域组策略的基本管理 域组策略安全筛选器的创建与配置 组策略的备份、还原和导入方法 7.1 组策略基础 组策略是Active Directory目录服务中的结构，可用于定义将自动应用到Active Directory中的用户和计算机账户的默认设置。策略设置可用于管理桌面显示、指派脚本、将文件夹从本地计算机重新定向到网络位置、确定安全选项，以及控制特定计算机上可安装的软件和特定用户组可用的软件。 7.1.1 组策略概述  组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件。要为特定用户组创建特殊的桌面配置，请使用组策略对象编辑器。 组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器及管理范围内的任何其他Windows 2000计算机。默认情况下，应用于域（即在域级别应用，刚好在Active Directory用户和计算机的根目录之上）的组策略（也就是“域组策略”）会影响域中的所有计算机和用户。 1．组策略的主要任务使用组策略可执行以下任务： 设置最小密码长度和密码保持有效的最大时间长度。 自动安装应用程序 通过“管理模板”管理基于注册表的策略 指派脚本 重定向文件夹 管理应用程序 指定安全选项2．默认情况下存在的组策略对象 运行Windows 2000、Windows XP Professional或Windows Server 2003操作系统的每台计算机都只有一个本地存储的组策略对象。默认情况下，安装Active Directory时，会创建两个非本地组策略对象： Default Domain Policy：默认域组策略 Default Domain Controllers Policy：默认域控制器组策略具体内容参见书中介绍。 7.1.2 组策略对象 策略设置存储在组策略对象（GPO）中，可以使用组策略对象编辑器来编辑每个GPO的设置。 1．GPO类型 在Windows系统中，共有两种类型的GPO： 基于Active Directory的GPO 本地GPO 2．用户设置和计算机设置 GPO设置可分为“用户配置”和“计算机配置”（如下页左图所示），前者保存在用户登录时应用于用户的设置，后者保存在计算机启动（引导）时应用于计算机的设置。 3．更改GPO的状态 默认情况下，GPO的状态是“已启用”，但是管理员可以自由更改设置。方法是在相应GPO编辑器窗口中的GPO上单击鼠标右键，在弹出菜单中选择【属性】命令，在打开的如下页右图所示对话框中进行配置即可。 4．GPO的默认权限 GPO也是一个文件，它对各用户和组对象也有默认的访问权限分配。表7-1显示了组策略对象的默认权限。 具体内容参见书中介绍。 7.1.3 组策略处理和优先级 应用于用户（或计算机）的GPO并不是全都具有相同的优先级。后面应用的设置可以覆盖先前应用的设置。 1．处理设置的顺序 组策略设置是按下列顺序处理的：本地组策略对象→站点→域→组织单位。 2．默认的设置处理顺序的例外情况 默认的设置处理顺序受下列例外情况的影响： GPO链接可以是“强制”或“已禁用”，或者两者都是。默认情况下，GPO链接既不是“强制”也不是“已禁用”。 默认情况下，既不禁用用户设置，也不禁用计算机设置。 部门或域可以设置“阻止继承” 。默认情况下，不设置“阻止继承”。 作为工作组成员的计算机仅处理本地组策略对象。 可以启用环回。  3．启动和登录（略）  以上具体内容参见书中介绍。 7.2 组策略管理控制台 在安装了Windows Server 2003 SP1和GPMC后，打开“组策略管理控制台”的方法是直接执行【开始】→【管理工具】→【组策略管理】菜单操作，控制台窗口如下图所示。 7.2.2 组策略管理控制台结构 在组策略管理控制台（GPMC）中集中是林、域、站点几个主要容器，包括了所有可以配置的组策略对象 1．组策略管理控制台中的域 GPMC支持同时管理多个域，并在控制台中将每个域按林进行分组。默认情况下，在GPMC中只显示一个域。在使用预定义的管理单元（gpmc.msc）或自定义的MMC控制台第一次启动GPMC时，GPMC显示包含用于启动GPMC的用户账户的域。在添加新的林时，GPMC显示在“添加林”对话框中输入