ad_ds架构-第03部分_ou、组策略规划跟部署.pptVIP

组织单位OU规划及创建 组织单位OU规划及创建、组策略规划及创建 何谓组织单位 规划组织单位 管理组织单位 管理组织单位的成员 委派控制 组织单位（OrganizationalUnit）是从Windows 2000之后才出现的对象,在AD域的逻辑架构中担任重要的角色。 组织单位是什么？它能帮我们做什么？以及如何管理组织单位。 在Windows NT的时代,域（Domain）是组织和管理网络的最小单位。 倘若不同的部门有不同的安全需求与管理方式,往往因此得将整个公司划分成多个域。可是这种多域的架构,在管理与成本都会增加负担。 为了解决这类的问题,微软公司在AD域中增加了组织单位这种对象,使得整个域的规划与管理更有弹性,能发挥『分层负责、授权管理』的优点。 能包含其它对象的对象便称为容器（Container）,既然组织单位是一种容器,自然也能包含其它对象。 它可以包含以下9种对象： 用户、计算机、组、打印机、共享文件夹 联络人、组织单位、InetOrgPerson、MSMQ路由别名 但是要记得一点－－组织单位仅能包含同域内的对象,不能包含其它域的对象！ 初次接触组织单位时,许多用户会将它与『组』（Group）混淆,虽然两者都是应用在AD域的逻辑架构中,但是在使用上有以下的差异： 一个用户可以隶属于多个组,但是只能隶属于一个组织单位。 组织单位可以包含组,但是组不能包含组织单位。 网络资源（例如：文件夹或打印机）的权限可以赋予组,但是不能赋予组织单位。 如何规划组织单位的架构,是一个颇有挑战性的课题。然而并无一定的准则,主要视企业实际需求而定。 以下列举几种常见的规划模式： 简单地说,所谓的委派控制（Delegation）便是『授权』！系统管理员可利用它来将例行的管理工作,委派给特定的对象来执行,以减轻自己的负担。 执行委派控制时应注意以下3个要点： 委派的范围：将多大的范围（站点、域或组织单位）委派出去。 委派的对象：委派给谁。 委派的内容：委派多大的权限出去。 委派控制精灵有一个缺点－－只能用来执行委派工作,不能『删除』或『更改』委派工作。 如果要取消或更换授权的对象或工作内容,则必须直接修改该对象的ACL。 以前例而言,若要修改原先委派给『贾聪明』的权限,或是将该委派工作改派给其它人,请先开启『总管理处的权限项目』交谈窗。 组策略规划及创建 组织单位OU规划及创建、组策略规划及创建 什么是COPY操作，执行COPY操作 ? 什么是备份操作，执行备份操作 ? 什么是恢复操作，执行恢复操作 ? 什么是倒入操作，执行导入操作 ? 默认情况下，新用户和计算机帐户是在 CN=Users 和 CN=Computers 容器中创建的。 Redirusr.exe（用于用户帐户）和 Redircomp.exe（用于计算机帐户）是 Windows Server?2008 附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置，以便更轻松地为新创建的用户和计算机对象直接指定 GPO 作用域 GPO 中的策略设置信息存储在以下两个位置：Active Directory 和域控制器的 Sysvol 文件夹。Active Directory 容器称为组策略容器；Sysvol 文件夹中包含组策略模板。 组策略容器包含用于将 GPO 部署到域、OU 和站点的属性。组策略容器还包含组策略模板的路径，该模板存储了大多数组策略设置。 组策略首选项是 Windows Server?2008 操作系统中的新增功能，包括 20 多个新的组策略扩展，扩大了组策略对象 (GPO) 中可配置设置的范围。这些新的扩展位于组策略管理控制台 (GPMC) 的“组策略管理编辑器”窗口中的新首选项下面。新组策略首选项扩展的示例包括文件夹选项、映射驱动器、打印机、计划任务、服务以及「开始」菜单设置 要求在客户端计算机上安装客户端扩展 (CSE) 集 本地策略 站点策略 域策略 父OU策略 子OU策略 组策略的应用用顺序 组策略权限的继承 域 OU OU OU OU OU 用户或计算机账户 OU GPO 1 OU GPO 3 OU GPO 2 阻止策略继承 要阻止策略在域或组织单位中继承 Active Directory 用户和计算机管理工具 要阻止策略在站点上继承 Active Directory 站点和服务管理工具 销售 生产 域 组策略对象 没有组策略对象设置应用 强制组策略 强制 链接冲突 组策略筛选 销售 生产 域 Mengph Kimyo 组 应用组策略 拒绝 读取和应用组策略 允许 GPO 什么是 WMI 过滤器? 500 MB free disk space? WMI Filter Administrator InstallOf