Active Directory 环境中使用组策略管理控制台 9468915501
Active Directory 环境中使用组策略管理控制
台9468915501
该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。该指南并不提供G PO 实施指导。
本页内容
简介
逐步式指南
Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。本指南第一介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory?;安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
?
?
在配置通用网络结构后,能够使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。
Microsoft Virtual PC
能够在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003
部署逐步式指南。借助于虚拟机技术,客户能够同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。
Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。
将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。
重要讲明
此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。
此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。
概述
Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具,它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。
GPMC 提供单一位置来治理组策略核心内容,从而简化了组策略的治理。它能够按照用户需要提供以下功能来满足最高的组策略部署要求。?使组策略更易于使用的用户界面(UI)。
?组策略对象(GPO) 备份/还原。
?GPO 导入/导出和复制/粘贴以及Windows Management Instrumentation (WMI) 选择器。
?简化了对组策略有关安全功能的治理。
?GPO 设置和策略的结果集(RSoP) 数据的超文本标记语言(HTML) 报告。
?将此工具中提供的策略有关任务编制成脚本(而不是将GPO 设置编制成脚本)。
过去,治理员需要使用几个Microsoft 工具来治理组策略,如“Active Directory 用户和运算机”、“Active Directory 站点和服务”以及“策略的结果集”治理单元。GPMC 将这些工具中提供的现有组策略功能以及一些新功能集成到一个统一的操纵台中。
GPMC 中内置了对多个域和林治理的支持,因此,治理员能够方便地治理整个企业中的组策略。治理员能够完全操纵在GPMC 中列出哪些林和域,因而能够只显示环境的有关部分。
先决条件
?
?
?
?
?
?
安装和配置GPMC
安装GPMC
要安装组策略治理操纵台,请按照以下步骤操作:
1. 在服务器“HQ-CON-DC-01”上,扫瞄到包含“gpmc.msi”的文件夹,双击“gpmc.msi”程序包,然后单击“下一步”。
2. 单击“我同意”,同意最终用户许可协议(EULA),然后单击“下一步”。
3. 单击“完成”以完成GPMC 安装。
在安装完成后,更新Active Directory 治理单元中站点、域和组织单位(OU) 属性页上显示的“组策略”选项卡以提供到GPMC 的直截了当链接。由于所有组策略治理功能差不多上通过GPMC 提供的,因此,无法再使用先前在原始“组策略”选项卡上提供的功能。
要打开GPMC 治理单元,请按照以下步骤操作:
1. 在服务器“HQ-CON-DC-01”上,单击“开始”按钮,单击“运行”,键入“GPMC.msc”,然后单击“确定”。
注意:此外,也能够使用以下两种方法之一启动GPMC。
?在“开始”菜单或“操纵面板”中,单击“治理工具”文件夹中的“组策略治理”快捷方式。
?创建自定义的MMC 操纵台:单击“开始”按钮,单击“运行”,键入“MMC”,然后单击“确定”。指向“文件”,单击“添加/删除治理单元”,然后单击“添加”。单击以突出显示“组策略治理”,单击“添加”,单击“关闭”,然后单击“确定”。
为多个林配置GPMC
您能够方便地将多个林添加到GPMC 操纵台树中。默认情形下,只有在某个林与运行GPMC 的用户林之间具有双向信任关系时,才能将其添加到GPMC 中。您能够有选择地承诺GPMC 使用仅单向信任关系或全然不使用信任关系。通过突出显示树根名目中的“组策略治理”,从上下文菜单中选择“操作”,然后单击“添加林”,将另一个林添加到GPMC 中。由于示例环境只包含单个林,因此,执行这些步骤超出了本逐步式指南的讨论范畴。
注意:在添加不受信任的林时,将无法使用某些功能。例如,不能使用“组策略建模”,同时无法打开“组策略对象编辑器”以编辑不受信任的林中的GPO。不受信任的林方案要紧用于支持跨林复制GPO。
同时治理多个域
GPMC 支持同时治理多个域,同时每个域在操纵台中是按林进行分组的。默认情形下,GPMC 中只显示一个域。在第一使用预配置的治理单元(gpmc.msc) 或自定义MMC 操纵台启动GPMC 后,GPMC 将显示包含用
于启动GPMC 的用户帐户的域。通过添加和删除操纵台中显示的域,您能够指定每个林中要使用GPMC 治理的域。
注意:即使您没有整个林的林信任关系,您也可添加外部信任域。默认情形下,要添加的域和用户对象域之间必须具有双向信任关系。也能够通过使用“查看”菜单中的“选项”对话框禁用GPMC 的信任检测功能,来添加具有单向信任关系的域。要添加外部信任域,您必须先使用“添加林”对话框,从包含外部信任域的林中添加一个域。在添加该林后,您可通过右键单击该林的“域”节点,然后单击“显示域”,在该受信任的林中添加任何域。
1.
2. 右键单击“域”,然后单击“显示域”。
3.
图 1. 显示域
在GPMC 的每个可用域中,可使用相同的域操纵器来完成该域中的所有操作。这包括位于该域中的GPO、OU、安全主体以及WMI 选择器上的所有操作。另外,在从GPMC 中打开“组策略对象编辑器”时,它始终将GPMC 中的目标域操纵器用于GPO 所在的域。
GPMC 承诺您为每个域选择使用哪个域操纵器。您能够选择四个选项之一。
?使用主域操纵器(PDC) 模拟器(默认选项)。
?使用任何可用的域操纵器。
?使用运行Windows Server 2003 家族操作系统的任何可用域操纵器。如果您要还原包含组策略软件安装设置的已删除GPO,该选项是专门有用的。
?使用指定的特定域操纵器。
1.
2.
3. 单击“确定”连续。
图 2. 更换域操纵器
治理组策略对象
查看域GPO
在每个域中,GPMC 都提供了一个基于策略的Active Directory 视图以及与组策略关联的组件,如GPO、WMI 选择器以及GPO 链接。GPM C 中的视图与“Active Directory 用户和运算机”MMC 治理单元中的视图类似,它们都显示OU 分层结构。然而,GPMC 与该治理单元不同之处在
于,它不显示OU 中的用户、运算机和组,而显示链接到每个容器的GP O 以及链接到这些GPO 本身的GPO。
GPMC 中的每个域节点都显示以下项目。
?链接到该域的所有GPO。
?所有顶级OU、嵌套OU 树状视图以及链接到每个OU 的GPO。
?显示域中所有GPO 的“组策略对象”容器。
?显示域中所有WMI 选择器的“WMI 选择器”容器。
要查看与特定容器关联的GPO,请按照以下步骤操作:
1.
要查看与特定域关联的所有GPO,请按照以下步骤操作:
1.
搜索GPO
能够在林或域级不进行GPO 搜索。通过使用单个或多个搜索参数,有助于在大量的GPO 中缩小搜索结果的范畴。
1.
2. 在“搜索项”框中,选择“GPO 名称”,键入“Password”作为“值”,然后单击“添加”。
3. 在“搜索项”框中,选择“运算机配置”,选择“Security”作为“值”,然后单击“添加”。
4. 单击“搜索”。结果应该如图4 所示。
图 4. 基于条件的GPO 搜索
5. 在返回搜索结果后,您能够执行以下操作之一:
?要打开GPO 进行编辑,请单击“编辑”。
?要储存搜索结果,请单击“储存结果”。在“储存GPO 搜索结果”对话框中,指定储存结果的文件名称,然后单击“储存”。
?要扫瞄到在搜索中找到的某个GPO,请在搜索结果列表中双击该GPO。
?要清除搜索结果,请单击“清除”。
?要关闭“搜索组策略对象”对话框,请单击“关闭”。
确定GPO 的作用域
只能通过正确地将GPO 应用于要治理的Active Directory 容器来实现组策略值。确定哪些用户和运算机接收GPO 中的设置的过程称为“确定GPO 的作用域”。确定GPO 作用域的过程基于三个因素。
?GPO 链接到的站点、域或OU 将GPO 中的设置应用于用户和运算机的要紧机制是,将GPO 链接到Active Directory 中的站点、域或OU。链接GPO 的位置称为“治理作用域”或SOM(在前面的白皮书中也将其视为
SDOU)。SOM 共有三种类型:站点、域和OU。可将一个GPO 链接到多个SOM,也能够将一个SOM 链接到多
个GPO。要应用某个GPO,您必须将其链接到SOM。
?GPO 上的安全选择默认情形下,位于链接了GPO 的SOM 及其子对象中的所有Authenticated Users(已授权用户)将应用GPO 中的设置。通过治理GPO 中的权限,您能够进一步细化哪些用户和运算机将接收GPO 中的设置。
这称为“安全选择”。关于要应用于特定用户或运算机的GPO,该用户或运算机必须拥有该GPO 的“读取”和“应用组策
略”权限。默认情形下,GPO 权限承诺“Authenticated Users”组拥有这两个权限。这确实是在将新GPO 链接到SOM
(OU、域或站点)时,所有已授权用户接收该GPO 设置的方法。然而,能够更换这些权限,将GPO 的作用域限定
为它所链接到的SOM 中的一组特定用户、组和/或运算机。
?GPO 上的WMI 选择器通过使用WMI 选择器,治理员能够基于目标运算机属性(通过WMI 实现)动态地确定GPO 的作用域。WMI 选择器由一个或多个查询组成,这些查询针对目标运算机WMI 储存库的求值结果为真或假。
WMI 选择器是与名目中GPO 不同的对象。要将WMI 选择器应用于某个GPO,请将选择器链接到该GPO,如GPO
的“作用域”选项卡上的“WMI 选择”部分所示。每个GPO 只能有一个WMI 选择器,只是,能够将同一个WMI 选择
器链接到多个GPO。在目标运算机上应用链接到WMI 选择器的GPO 时,将在该目标运算机上对该选择器进行求值。
如果WMI 选择器运算结果为假,则不应用GPO。如果WMI 选择器运算结果为真,则应用GPO。
要确定在往常搜索中找到的“Domain Password Policy”GPO 的作用域,请按照以下步骤操作:
1. 在“搜索组策略对象”搜索结果窗格中,双击“Domain Password Policy”,然后单击“关闭”。
注意:在关闭“搜索组策略对象”对话框后,往常选择的GPO 在GPMC 中具有焦点。现在将显现“GPO 作用域”页,
如图 5 所示。
图 5. 确定GPO 的作用域
要检查GPO 将应用的策略,请按照以下步骤操作:
1. 在“Domain Password Policy”结果窗格中,单击“设置”选项卡,然后单击“全部显示”。现在将显示所有已定义策略
设置的摘要(如图6 所示),但不显示未定义的设置。
图 6. 检查GPO 设置
GPO 策略继承和链接顺序
特定容器的“组策略继承”选项卡显示从父容器继承的所有GPO(链接到站点上的GPO 除外)。该选项卡中的“优先”列显示所有链接的总体优先级(这些链接将应用于该容器中的对象),并考虑“链接顺序”和每个链接的“强制”属性以及“阻止继承”。
要查看容器中的策略继承,请按照以下步骤操作:
1.
如果将多个GPO 链接到相同的容器,同时这些GPO 具有相同的设置,则必须有一个和谐这些设置的机制。这种行为是由链接顺序操纵的。链接顺序编号越小,优先级越高。特定容器链接的有关信息显示在该容器的“链接的组策略对象”选项卡中。该窗格显示是否强制进行链接,是否启用链接,GPO 状态,是否应用WMI 选择器,其修改时刻以及储备它的域容器。委派了“将GPO 链接到容器”权限的治理员或用户能够使用以下方法更换链接顺序:突出显示GPO 链接,然后使用向上和向下箭头,在链接顺序列表中向上或向下移动链接。
要更换容器中的策略链接顺序,请按照以下步骤操作:
1. 在“Headquarters”屏幕上,单击“链接的组策略对象”。
2. 在“GPO”列下面,单击“Linked Policies”,然后单击“链接顺序”列左侧的向上箭头。完成后,“Headquarters”OU 下
面GPO 的链接顺序应该如图8 所示。
GPO 备份、还原、复制以及导入
备份GPO
GPO 备份操作将GPO 中的数据复制到文件系统中。备份功能还具有GPO 导出功能。可使用GPO 备份将GPO 还原到已备份状态,或者将备份中的设置导入到另一个GPO 中。
GPO 备份操作将GPO 内部储备的所有信息储存到文件系统中。其中包括以下内容:
?GPO 全局唯独标识符(GUID) 和域GPO 设置
?GPO 中的自由访咨询操纵列表(DACL)
?WMI 选择器链接(如果有的话),但不包括选择器本身
?到IP 安全策略的链接(如果有的话)
?GPO 设置的可扩展标记语言(XML) 报告(可将其视为GPMC 中的HTML)
?备份的日期和时刻戳
?用户提供的备份讲明
GPO 备份操作只储存在GPO 中储备的数据。在GPO 不处储备的数据包括以下内容:
?到站点、域或OU 的链接
?WMI 选择器
?IP 安全策略
在将备份还原到原始GPO 或导入新GPO 时,该数据不可用。
要备份“Domain Password Policy”GPO,请按照以下步骤操作:
1.
2. 在“组策略对象”文件夹中,右键单击“Domain Password Policy”GPO,然后单击“备份”。
3. 在“备份组策略对象”对话框中,键入“c:\windows”作为“位置”,键入“Domain Password Policy Backup”作为“描
述”,然后单击“备份”。
4. 在备份完成后,单击“确定”连续。
治理备份
能够将多个相同或不同的GPO 备份储备在相同的文件系统位置中。每个备份都使用唯独的备份ID 来标识。能够使用GPMC 中的“治理备份”对话框或通过可编程接口来治理特定文件系统位置中的备份集合。可通过右键单击特定域中的“域”节点或“组策略对象”节点来访咨询“治理备份”对话框。在从“组策略对象”节点中打开“治理备份”时,就会自动对视图进行选择,以便只显示该域的GPO 备份。在从“域”节点中打开“治理备份”对话框时,将会显示所有备份(不管备份来自哪个域)。
要治理可用的GPO 备份,请按照以下步骤操作:
1.
图9. 治理备份
2. 在“治理备份”窗口中,单击以突出显示先前创建的“Domain Password Policy Backup”,然后单击“查看设置”。
3. 查看详细的GPO 信息,然后关闭“Internet Explorer”。
从备份还原
GPO 还原操作从备份数据中重新创建GPO。能够在下列两种情形下使用还原操作:备份了GPO 但以后将其删除;或GPO 处于活动状态,同时您要回滚到先前的已知状态。还原操作将替代以下GPO 组件。?GPO 设置
?GPO 上的DACL
?WMI 选择器链接(但不包括选择器本身)
还原操作只能还原属于GPO 的对象,其中包括到站点、域或OU 的链接、WMI 选择器以及IPSec 策略。
要还原“Domain Password Policy”GPO,请按照以下步骤操作:
1. 在“治理备份”窗口中,单击“还原”。
2. 在显现提示时,单击“确定”还原选定的备份。
3. 在GPO 还原完成后,单击“确定”。
4. 在“治理备份”对话框中,单击“关闭”。
复制GPO
您能够使用复制操作,将Active Directory 中现有GPO 的设置直截了当传送到新的GPO 中。将为复制操作期间创建的新GPO 指定一个新的GUID,同时将其解除链接。能够使用复制操作,将设置传送到相同域、相同林的其他域或其他林的域中的新GPO。因为复制操作将Active Direc tory 中的现有GPO 作为源,因此源和目标域之间需要具有信任关系。复制操作适用于在生产环境之间移动组策略。只要源和目标域之间具有信任关系,就能够使用这些操作将测试域或林中通过测试的组策略迁移到生产环境中。
要复制GPO,请按照以下步骤操作:
1.
2.
3. 右键单击“组策略对象”,然后单击“粘贴”。
4. 在“跨域复制向导”中,单击“下一步”连续。
5. 在“指定权限”屏幕上,选择“新GPO 使用默认权限”(默认),如图10 所示,然后单击“下一步”。
图10. 跨域复制向导
6. 在扫描完原始GPO 后,单击“下一步”连续。
7. 在“完成跨域复制向导”屏幕上,检查设置,然后单击“完成”。
8. 在完成复制操作后,单击“确定”。
1.
导入GPO
导入操作使用文件系统位置中的已备份GPO 作为其源,将设置传送到Active Directory 中的现有GPO。能够使用导入操作,将一个GPO 的设置传送到相同域中的其他GPO、相同林中其他域的GPO、或不同林中域的GPO。导入操作始终将已备份设置放在现有的GPO 中。它会清除目标GPO 中预先存在的任何设置。导入并不要求源域和目标域之间具有信任关系,因此,专门适用于在没有信任关系的林和域之间传送设置。将设置导入到GPO 并可不能阻碍其DACL;也可不能阻碍站点、域或OU 到该GPO 的链接或者到WMI 选择器的链接。
1.
2. 在“新建GPO”对话框中,键入“Domain Password Policy”作为“名称”,然后单击“确定”。
3.
4. 在“导入设置向导”中,单击“下一步”连续。
5. 在“备份GPO”屏幕上,单击“下一步”连续,由于GPO 当前没有策略定义,因此不进行备份。
6. 同意默认备份文件夹“c:\windows”,然后单击“下一步”连续。
7. 由于“Domain Password Policy”是当前唯独的备份,因此默认选择该GPO。单击“下一步”,开始从该GPO 中导
入设置。
8. 在扫描完GPO 安全主体后,单击“下一步”,然后单击“完成”。
9. 在“导入设置向导”完成后,单击“确定”。
1.
GPO 建模
组策略建模
“组策略建模”模拟在治理员指定的环境中显现的情形。因为此模拟过程是由运行Windows Server 2003 的域操纵器上运行的一项服务完成的,因此至少需要有一个运行Windows Server 2003 的域操纵器。
通过使用“组策略建模”,您能够模拟应用于现有配置的RSoP 数据;或者通过模拟名目环境的假设性更换,然后运算该假设性配置的RSoP 来进行“假定估量”分析。例如,您能够模拟安全组成员身份更换或Active Directory 中用户或运算机对象位置更换。在GPMC 外部,将“组策略建模”称为“RSoP –规划模式”。
要模拟GPO 成效,请按照以下步骤操作:
1. 在“组策略治理”窗口中,单击“域”旁边的减号(-) 将树折叠。
2.
3. 在“组策略建模向导”屏幕上,单击“下一步”。
4. 在“域操纵器选择”屏幕上,保留默认设置,然后单击“下一步”。
5. 在“用户和运算机选择”屏幕的“用户信息”下面,单击“用户”。单击“扫瞄”,在“选择输入对象名称”下面键入“Christine”,
然后单击“确定”。选择“不收集其他数据,直截了当跳到此向导的最后一页”复选框,然后单击“下一步”。您的设置应该
如图12 所示。
图12. 组策略建模向导
6. 在“选择摘要”屏幕上,单击“下一步”开始模拟。
7. 单击“完成”。右窗格中将包含模拟结果。
(2)组策略的配置及使用
一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 (1)通过控制台访问组策略 (2)对用户设置密码策略 (3)对用户设置登录策略 (4)退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型:本地和非本地。 本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。 非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重
组策略分发软件全攻略
组策略分发软件全攻略 2008-12-23 13:26 在规模比较大的网络环境里面,为了对服务器和客户机上的软件、系统补丁进行集中统一的管理,我们可能会用到SUS、WSUS、SMS等。SUS、WSUS管理系统更新,不在本文讨论,请参考其它相关技术文档。虽然SMS功能较强大,兼容性好,绝大多数应用软件都可以用它来管理,但是它比较复杂,实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话,其实我们还是可以回归到比较原始的技术: 利用GPO实现软件设置 ● 分发软件 ● 修复软件 ● 删除软件 ● 升级软件 优点:易实现 缺点:功能简单、兼容性差(只能分发winodows安装程序包——.msi,exe 封装的程序安装包要用Advanced Installer重新封装成msi文件) 实现:前提是熟悉Winodows Server活动目录的基本管理,理解组策略,熟悉通过AD部署组策略 一、获取要分发的软件
如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用,但都是exe封装的安装包。因为通过组策略只能够分发msi封装的程序安装包,所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包: 1、运行Advanced Installer,打开新建工程向导,按向导做 选择“语言”、“重新包装安装”——>“确定” 2、按向导提示,关掉真正运行的其它程序,下一步
3、选中捕获新的安装
4、指定要重新包装的源程序,并设置名称、版本等信息 5、如图,选中新的系统捕获
6、指定“安装捕获配置文件”保存路径,其它默认
本文介绍了如何使用组策略编辑器更改计算机或计算机用户的本地策略设置
本文介绍了如何使用组策略编辑器更改计算机或计算机用户的本地策略设置。 回到顶端 使用组策略 在Microsoft Windows XP 中,可以使用组策略为用户和计算机组定义用户和计算机配置。通过使用组策略Microsoft Management Console (MMC) 管理单元,您可以为特定的用户和计算机组创建特定的桌面配置。您创建的组策略设置包含在组策略对象中,后者进而与选定的Active Directory 容器(如站点、域或组织单位(OU))关联。使用组策略管理单元,您可以为以下各项指定策略设置: ?基于注册表的策略。 包括针对Windows XP 操作系统及其组件以及针对所有程序的组策略。为管理这些设置,请使用组策略管理单元的“管理模板”节点。 ?安全选项。 包括本地计算机、域和网络安全设置的选项。 ?软件安装和维护选项。 用来集中管理程序的安装、更新和删除。 ?脚本选项。 包括用于计算机启动和关闭以及用户登录和注销的脚本。 ?文件夹重定向选项。 这些选项允许管理员将用户的特殊文件夹重定向到网络上。 使用组策略,您可以一次性地定义用户工作环境的状态,以后就可以靠系统来实施您定义的策略。 回到顶端 如何启动组策略编辑器 若要启动组策略编辑器,请按照下列步骤操作。 备注: 为了使用组策略编辑器,您必须使用一个有管理员权限的帐户登录到计算机。 1.单击开始,然后单击运行。 2.在打开框中,键入mmc,然后单击确定。 3.在文件菜单上,单击添加/删除管理单元。 4.单击添加。 5.在Available Stand-alone Snap-ins(可用的独立管理单元)菜单上,单击组策 略,然后单击添加。 6.如果您不希望编辑“本地计算机”策略,请单击浏览以找到您希望的组策略。如果提示您 输入用户名和密码,请输入,然后在返回“选择组策略对象”对话框后单击完成。 备注:您可以使用浏览按钮来找到链接到站点、域、组织单位(OU) 或计算机的组策略对象。使用默认的组策略对象(GPO)(本地计算机)编辑本地计算机的设置。
Window 2008 R2组策略之一——组策略管理控制台
组策略管理在windows域管理中占有重要地位,本身也不是新的内容了。但微软在Windows2008中终于集成了一个非常好用的组策略管理工具——组策略管理控制台。并 且为原有的组策略添加了新的元素。本文从介绍组策略管理控制台入手,力求通过比较通俗的语言,为组策略新手开启一扇进入Windows域高级管理的大门。由于本人水平所限,如有不妥之处,请方家不吝赐教。 在08以前的Windows Server中要想配置组策略,是件麻烦事。后来微软推出了一个 小工具——gpmc,才解决了问题,但这个工具需要下载和安装,许多人不知道有这个工 具的存在。在Windows 2008中,微软将它集成了进来,大大方便了管理员对于组策略的 管理和配置。首先,让我们看看它的庐山真面目吧!点击“开始”,导航到“管理工具”,选 择“Group Policy Management”命令,打开组策略管理控制台。(见图一) 图一 正如各位所见,在此管理控制台的根节点,是一个叫做“https://www.360docs.net/doc/4916585404.html,”的森林根节点。展 开后,可见如下几个主要节点:域,默认情况下是与森林同名的域;组策略对象(Group Policy Objects——GPO),是存放所有组策略的节点,包括用户创建的和默认域策略以及 默认域控制器策略;Starter GPOS(初级使用者GPO),它衍生自一个GPO,并且具有将一组管理模板策略集成在一个对象中的能力(Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative
组策略详解
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
组策略终极应用技巧
组策略终极应用技巧 出处:中国IT实验室责任编辑:ANSON2006-03-17 15:39:34 关闭缩略图的缓存(Windows XP/2003) Windows XP/20003系统系统具有缩略图的功能,为加快那些被频繁浏览的缩略图显示速度,系统还会将这些显示过的图片置于缓存中,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的。若你不希望系统进行缓存的话,则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理,反而会大大加快第一次浏览的速度。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示:若你的电脑是一个网络中的共享工作站,为了数据安全,建议你启用该设置以关闭缩略图视图缓存,因为缩略图视图缓存可以被任何人读取。
屏蔽系统自带的CD刻录功能(Windows XP/2003) Windows XP/2003系统自带CD刻录功能,若你有刻录机连接在电脑上,在Windows 资源管理器中可以直接将数据犹如复制一样写到CD-R上。这样虽然方便,但是会影响系统性能和资源管理器的执行速度,再加之大部分用户都习惯了运用专用刻录软件进行刻录,所以我们建议无论电脑上有无刻录机,都可以利用组策略来屏蔽此功。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。提示:该设置不会阻止用户使用第三方应用程序来刻录或修改CD-R。 限制IE浏览器的保存功能(Windows 2000/XP/2003)
当多人共用一台计算机时,为了保持硬盘的整洁,对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢?具体步骤如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“…文件?菜单:禁用…另存为...?菜单项”、“…文件?菜单:禁用另存为网页菜单项”、“…查看?菜单:禁用…源文件?菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改,可以将“…工具?菜单:禁用…Internet选项...?”策略启用。此外,如果个人需要的话,还可以在该窗格中禁用其他项目。 禁止修改IE浏览器的主页(Windows 2000/XP/2003) 在IE浏览器中可以设置默认主页,如果不希望他人对自己设定的IE浏览器主页进
组策略的基本知识
一、组策略的基本知识 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。 本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置:本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。 访问本地组策略的方法有两种:第一种方法是命令行方式;第二种方法是通过在MMC 控制台中选择GPE插件来实现的。 1、组策略编辑器的命令行启动 您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。) 在打开的组策略窗口中,可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。另外,您或许已经注意到,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢?这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。 2、将组策略作为独立的MMC管理单元打开 若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下: (1)单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。 (2)选择“文件”菜单下的“添加/删除管理单元”命令。 (3)在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按扭。 (4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。 (5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按扭查找所需的组策略对象(6)单击“完成”→“关闭”→“确定”按扭,组策略管理单元即可打开要编辑的组策略对象。 特别提示:倘若您希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。 二、“任务栏”和“开始”菜单相关选项的删除和禁用 在“…本地计算机?策略”中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略。 1、给“开始”菜单瘦瘦身 如果您觉得Windows XP的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜
域组策略应用详解
Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境,实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.
2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC(组策略容器)与GPT(组策略模板) GPC:GPC是包含GPO属性和版本信息的活动目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构
Windows7使用组策略禁用移动存储设备
Windows7通过组策略禁止使用移动存储设备 现在移动存储设备的使用越来越广泛,但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生,不过同时也意味着计算机将无法使用其他USB接口的设备,例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。 在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前,请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。 如果确定所用的Windows 7版本具有组策略功能,则可以按照以下步骤进行操作。 (1)单击“开始”按钮,在搜索框中输入“gpedit.msc”并按回车键,打开“本 地组策略编辑器”窗口。 (2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安 装—设备安装限制”项,如图1所示。 图1 (3)双击右侧的相应策略,就可以针对实际情况对硬件设备的安装做出限制。 这里一共有10条可用的策略,含义分别如下。 允许管理员忽略设备安装限制策略:这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略,那么不管其他 策略如何设置,都只能影响非管理员账户,而不能影响管理员账户。如 果禁用这条策略,或者保持未被配置的默认状态,那么管理员账户也将 受到其余几条策略的限制。
?允许使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定允许安装的设备类型。简单来说,这条策略等于一个“白名单”,配合其他策略,就可以让Windows 7只安装设备类型在这条策略中批准过的设备,其他未指定的设备都拒绝安装。 ?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定禁止安装的设备类型。简单来说,这条策略等于一个“黑名单”,所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 ?当策略设置禁止安装时显示自定义信息:这条策略用于决定当有设备被 禁止安装后,在Windows 7的系统提示区显示什么样的气球图标消息。 ?当策略设置禁止设备安装时显示自定义信息标题:这条策略用于决定当 有设备被禁止安装后,在Windows 7的系统提示区显示的气球图标使用什么样的标题。 ?允许安装与下列设备ID相匹配的设备:这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 ?阻止安装与下列任何设备ID相匹配的设备:这条策略用于决定禁止 Windows 7安装具有哪些硬件ID的设备。 ?在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒 为单位):这条策略用于设置强制重新启动计算机前的倒计时,以便让策略生效。 ?禁止安装可移动设备:这条策略用于决定是否禁止安装任何可移动设备, 而且这条策略的优先级是最高的,只要启用了这条策略,那么不管其他允许策略是如何设置的,可移动设备都将无法被安装。
组策略应用大全
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
管理员操作手册-AD域控及组策略管理_51CTO下载
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控(DC)基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位(OU) (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位:(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象(dsmod) (14) 6、其他命令(dsquery、dsmove、dsrm) (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)
一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于: 1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2)、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3)、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1)、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2)、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3)、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4)、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
如何设置常用组策略
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
组策略的管理(账户锁定策略)
组策略的管理(账户锁定策略) 2. 账户锁定策略 账户锁定策略用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”,可打开组策略控制台,依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。 (1)账户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户,除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0,则将无法锁定账户。 对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上,失败的密码尝试计入失败的登录尝试次数中。 在组策略窗口中,双击“账户锁定阈值”选项,显示“账户锁定阈值属性”对话框,选中“定义这个策略设置”复选框,在“账户不锁定”文本框中输入无效登录的次数,例如3,则表示3次无效登录后,锁定登录所使用的账户。 建议启用该策略,并设置为至少3次,以避免非法用户登录。 (2)账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将被锁定。
如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。 打开“账户锁定时间”的属性对话框,选中“定义这个策略设置”复选框,在“账户锁定时间”文本框中输入账户锁定时间,例如30,则表示账户被锁定的时间为30分钟,30分钟后方可使用再次使用被锁定的账户。 默认值为无,因为只有当指定了账户锁定阈值时,该策略设置才有意义。 (3)复位账户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数,有效范围为1~99 999分钟之间。 如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。 打开“复位账户锁定计数器”的属性对话框,选中“定义这个策略设置”复选框,在“复位账户锁定计数器”文本框中输入账户锁定复位的时间,例如30,表示30分钟后复位被锁定的账户。 只有当指定了账户锁定阈值时,该策略设置才有意义。
Windows操作系统组策略应用全攻略
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。
window实验手册组策略规划
w i n d o w实验手册组策 略规划 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】
教学时 间 第五周2008-3-18 教学课 时 3 教案序 号 12-14 教学目标1、掌握如何建立和管理OU 2、学会在win2003中应用组策略 教学过程: 一、OU(组织单元)的管理 1、OU的概念 域是最小的管理单位,在活动目录中,域一般对应公司,而OU则对应于公司中的部门。OU是活动目录中的容器,可以在OU中建立用户、组等其他对象,也可以在OU中建立OU。 2、建立OU及子对象 (1)注意图标。 (2)建立步骤:在需要创建的空白处右击,选择“新建”——“组织单元”,在对话框内输入OU名称即可。 (3)在OU中可以放用户、组、打印机、共享文件夹、子OU等。 实验一:OU的管理 1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。 2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述 1、组策略的概念 (1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。 (2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。 (3)组策略配置类型有:计算机配置和用户配置。 (4)组策略分为:本地安全策略和活动目录的组策略。 本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。 2、组策略的应用顺序 (1)本地组策略 (2)域组策略 (3)域控制器组策略 (4)组织单元组策略 三、组策略对象的管理 我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。 1、创建组策略 步骤:右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略 步骤:右击-属性-“组策略”选项卡-“编辑”按钮
Windows组策略应用大全
Windows组策略应用大全.txt9母爱是一滴甘露,亲吻干涸的泥土,它用细雨的温情,用钻石的坚毅,期待着闪着碎光的泥土的肥沃;母爱不是人生中的一个凝固点,而是一条流动的河,这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows?9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows?2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active?Directory?对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet?Explorer策略设置。 3)Wmplayer.adm:用于Windows?Media?Player?设置。 4)Conf.adm:用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows?9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
组策略完全使用手册
组策略完全使用手册 对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。 而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略 在Windows 2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。如图1所示。 使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开: (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮。 (4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
Active Directory 环境中使用组策略管理控制台 9468915501
Active Directory 环境中使用组策略管理控制 台9468915501 该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。该指南并不提供G PO 实施指导。 本页内容 简介 逐步式指南 Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。本指南第一介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory?;安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。 通用网络结构要求完成以下指南。 ? ?
在配置通用网络结构后,能够使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。 Microsoft Virtual PC 能够在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术,客户能够同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。 Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。 将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。 重要讲明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。 此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。 此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。 概述 Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具,它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。