Windows2003组策略配置、应用与管理.docVIP

第10章 组策略配置、应用与管理 组策略的配置与管理一直是Windows Server 2003域管理的重点和难点，特别是基于组策略的应用，那更是千变万化、层出不穷。 其实组策略中实现的功能原来在注册表中已有体现，但是使用注册表有些功能的配置显得比较复杂，一般人难以掌握，而组策略中对这些功能的配置采取了完全不同的组织方式，更加容易掌握，所以通过组策略来实现域网络的用户、计算机桌面环境和安全策略的配置就成了日常网络管理中最常用的方法。但在组策略中的配置都会同步应用到对应的注册表项的。 随着GPMC的应用，组策略的管理思路更加清晰，管理功能也更加强大。本节主要介绍Windows Server 2003域中组策略GPMC的主要使用方法和基于组策略的一些常见应用。 教学（自学）课时安排 本章老师共需安排3个授课课时，着重介绍 GPMC结构，主要使用、配置方法，以及组策略的一些典型应用。 授课课时 主要内容 重点 1 ①???? 组策略结构②组策略对象（GPO）③组策略管理模板④使用GPMC前后的 ②???? 组策略配置操作区别 ①组策略对象（GPO）②组策略管理模板 2 ①新建和链接GPO②编辑和查看GPO设置③更改GPO链接顺序和访问权限委派④组策略继承⑤组策略应用筛选 ①???? 新建和链接GPO②更改GPO链接顺 ②???? 序和访问权限委派③组策略继承④组策略应用筛选 3 ①???? 密码复杂性策略配置②限制本地登录策略配置③限制网络访问策略配置④阻止更改组成员和隶属关 ②???? 系策略配置⑤文件夹重定向策略配置⑥软件安装策略配置⑦限制软件运行策略配置⑧隐藏/禁止访问光驱和U盘策略配置 ①密码复杂性策略配置②限制本地登录策略配置③限制网络访问策略配置④阻止更改组成员和 隶属关系策略配置⑤文件夹重定向策略配置⑥软件安装策略配置⑦限制软件运行策略配置⑧隐藏/禁止访问光驱和 U盘策略配置 10.1? 组策略基础 组策略是Active Directory（活动目录）服务中允许管理员针对用户和计算机进行配置的基础架构。它与注册表的功能类似，但其设置组织形式更加直观，更加便于操作、配置与管理。它将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 10.1.1? 组策略结构 组策略设置主要包括：用户计算机环境（如开始菜单、桌面快捷项、控制面板选项、可用程序等）、计算机和用户的本地或网络访问权利，以及其他安全控制策略（如组策略中的各种安全选项、IP安全策略等）。可以用组策略定义用户和计算机组的配置，如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及IE的维护指定策略设置。创建的组策略设置包含在组策略对象（GPO）中，通过将GPO与所选的Active Directory系统容器--站点、域和组织单位相关联，实现组策略设置的具体应用。还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。 组策略可基于活动目录中的用户和计算机账户两种对象分别进行配置，所以在GPO中的组策略设置项中包括计算机配置和用户配置两大部分（如图10-1所示），这就是组策略的基本结构。而且可以看到，在这两大部分中，有许多设置项是相同的，如都有软件设置、Windows设置和管理模板等这几部分，而且在这些部分中，又有许多相同的子设置选项。我们知道，计算机配置是针对计算机对象而言的，用户配置是针对用户对象而言的，而用户配置又是通过计算机来应用的，这就存在一个可能两者的相同选项设置不一致、有冲突的问题，这时又该应用哪个设置呢？根据组策略规定，当两者的配置有冲突时，最终以计算机策略为依据。 组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何其他Windows 2000计算机。组策略对象（GPO）的创建的最大容器是域，最小容器是组织单位（OU），当然可以为各级OU创建不同的GPO。不能为特定的计算机或用户创建单独的GPO。应用于域（即在域级别应用，刚好在Active Directory用户和计算机（ADUC）控制台的根目录之上）的组策略（也就是域组策略）会影响域中的所有计算机（包括域控制器）和用户。默认的域组策略是Default Domain Policy。ADUC还提供内置的Domain Controllers（域控制器）组织单位（域控制器是域网络中最大的组织单位），默认使用的组策略对象是Default Domain Controllers Policy。域控制器组策略应用于域网络中的所有域控制器，将域控制器策略与其他计算机策略分开管理。10.1.2? 组策略对象 组策略设置存储在组策略对象（