2003系统域的组策略应用详解_

图文并茂2003域控制器教程(辅域控)应广大网友要求-图文并茂2003域控制器教程乎之欲出-有更新经过一段时间的调试`2003域控制器可以说是大功告成啦``大家也知道工作组模式问题多多`经常出现什么访问不到啦`找不到网络路径啦`烦死人了`现在只要采用域控制`这些问题会少很多很多``域控制服务器教程把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC 数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?今天就来说说吧``如有不对的地方希望大家说出来一起进步：服务器采用Windows2003Server为例，客户端以XP为例（专业版，home版的不支持）。

域控制器名字：serverIP：192。

168。

88。

119子网掩码：255。

255。

255。

0网关：192。

168。

88。

159（当然，这些可以根据具体需要设置）DNS：192。

168。

88。

119(因为我要把这台机器配置成DNS服务器，升级成DC以后首选DNS 变成127。

0。

0。

1不用怕`这是正常的)由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添:加/删除Windows组件”，则可以看到如下画面向下拖动右边的滚动条，找到“网络服务”，选中:按此在新窗口浏览图片默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:按此在新窗口浏览图片然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

［技巧］gpedｉt.mｓｃ组策略应用大全gpedit.mscﻫ组策略应用全攻略ﻫ一、什么是组策略ﻫ（一)组策略有什么用？说到组策略,就不得不提注册表。

注册表是Windows系统中保存系统、应用软件配置的数据库,随着Wiｎdoｗs功能的越来越丰富，注册表里的配置项目也越来越多。

很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置,可想是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用,从而达到方便管理计算机的目的。

ﻫ简单点说，组策略就是修改注册表中的配置。

当然,组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活,功能也更加强大。

(二)组策略的版本ﻫ大部分Wiｎdｏws 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。

其实组策略是系统策略的更高级扩展，它是由Wｉndows 9X／NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Ｗiｎｄows 2０0０/XP/２0０３系统。

早期系统策略的运行机制是通过策略管理模板,定义特定的．ＰOＬ(通常是Confｉg．ｐol）文件。

当用户登录的时候，它会重写注册表中的设置值。

当然,系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然,Wｉndows 2000/ＸP/２003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActivｅDiｒｅctｏry 对象(即站点、域或组织单位）并对它进行设置。

这是以前“系统策略编辑器”工具无法做到的。

无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

Windows2003域控基本策略对于运行Microsoft Active Directory目录服务的Microsoft Windows Server 2003计算机，域控制器服务器是在任何环境下都应当确保其安全性的重要角色。

对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP（轻量级目录访问协议）目录的客户机、服务器以及应用软件而言，IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。

由于其重要性，域控制器应当总是被安置在物理上安全的地点，仅允许有资格的管理人员访问。

当域控制器必须安置在不太安全的地方时，例如分支办公室，应当调整相关的安全性设置以限制来自物理访问威胁的潜在损害。

域控制器基线策略与本指南后面将要介绍的其他服务器角色策略不同，域控制器服务器的组策略是一种基线策略，与第三章“创建成员服务器基线”所定义的成员服务器基线策略（MSBP）属于同一类。

域控制器基线策略（DCBP）与域控制器组织单位（OU）密切相连，并且优先于缺省的域控制器策略。

包括在DCBP中的设置将增强任何环境下域控制器的总体安全性。

大多数DCBP是MSBP的直接拷贝。

由于DCBP建立在MSBP基础之上，读者应当仔细复习第三章“创建成员服务器基线”，以便充分理解同样包括在DCBP中的许多设置。

本章仅仅讨论那些没有包括在MSBP中的DCBP设置。

域控制器模板专门设计用来满足本指南所定义三种环境的安全需要。

下表显示了包括在本指南中的域控制器.inf 文件以及这些环境相互之间的关系。

例如，文件Enterprise Client –Domain Controller.inf是企业客户机环境下的安全性模板。

表 4.1: 域控制器基线安全性模板注意：将一个配置不正确的组策略对象链接到Domain Controllers OU（域控制器组织单位）可能会严重阻碍域的正常操作。

在导入这些安全性模板时应当十分小心，在将GPO到链接到Domain Controllers OU之前，应该确认导入的所有设置都是正确的。

第四章：实现组策略主要内容：✧在域中实现组策略✧修改组策略的继承✧通过组策略来设置脚本✧配置文件来重定向✧确定应用组策略第一节：在域中实现组策略1、什么是组策略定义：是对域中一组计算机或用户各种设置的集合。

包括：桌面设置、软件设置、安全设置组策略可以设置在三种对象上，这三对象分别是：站点、域、OU。

组策略可以被继承。

2、创建管理管理组策略的工具：两种管理工具分别是：✧Install group plicy management console (GPMC):该工具可管理组策略的备份、存储、生成报表等。

默认时集成了所有组策略功能。

只不过它是一个下载工具。

你可以到微软的网站去下载。

✧活动目录的管理工具：活动目录的用户和计算机可以管理域中的用户和计算机。

活动目录的站和服务可以管理域的站点。

3、如何创建组策略：演示组策略设置的过程。

4、组策略生效的时间：✧对用户的设置的策略：在用户注销或登录时生效✧对计算机设置和策略：计算机在重启时会生效。

第二节：修改组策略的继承1、如何解决组策略冲突组策略是可以被继承的，当在域中不同的组策略对象上设置组策略时，就有可以发生冲突。

如何解决这种冲突呢？系统会按照子容器优先的策略进行设置。

2、阻止组策略的继承：默认时子容器是继承父容器的组策略，但如果子容器不想继承父容器策略时，我们可以设置阻止继承。

见操作3、如何强制组策略的实施：这种策略可保证公司完全统一。

见操作4、组策略的过滤设置：在用户所在的OU上，右键盘：属性：安全：选择要过滤的用户：应用组策略上：拒绝。

第三节：通过组策略来设置脚本1、什么是组策略设置脚本什么是脚本：就是一些可执行程序。

如：.bat .exe 和windows server 2003所支持的各种脚本语言。

通过使用脚本可完成一些组策略本身所不能完成一些功能。

比如：为用户在环境变量，为用户在桌面设置快捷方式等。

组策略实现脚的类型：✧启动脚本：在计算机启动时执行的脚本✧关机脚本：计算机关闭时执行的脚本✧登录脚本：用户在登录时执行的脚本✧注销脚本：用户在注销时执行的脚本例如：set objnetwork = wscript.createobject(“work”) Objnetwork.mapnetworkdrive”k:”,”\\computername\sharename\name”如何使用组策略来指派脚本:操作演示。

在域组策略中实现映射网络驱动器一、把下面代码复制到记事本中，并保存文件名为“logon.vbs”Set WshNetwork = WScript.CreateObject("work")set wshshell=WScript.CreateObject("WScript.shell")WScript.sleep 3000WshNetwork.MapNetworkDrive "z:","\\X.X.X.X\XXXX"二、在AD用户和计算机中的域名上右击，选择属性。

三、在弹出的窗口中选择组策略选项卡——点击编辑按钮——在跳出的默认域策略窗口中选择用户配置——Windows设置——脚本（登陆/注销）——登陆属性——点击显示文件按钮，把logon.vbs复制到弹出的文件夹中——点击添加按钮——点击浏览按钮把刚才复制的logon.vbs脚本文件添加进去——点击确定按钮。

添加共享打印机Set WshNetwork = WScript.CreateObject("work") Wshnetwork.addWindowsPrinterConnection "\\pc-hp1020"Wshnetwork.SetDefaultpritner "\\pc-hp1020"自动映射网络驱动器:Set WshNetwork = WScript.CreateObject("work") WshNetwrok.RemoveNetworkDrive "z"WshNetwork.MapNetworkDrive "z:","\\X.X.X.X\XXXX"@echo offcolor f2mode con cols=71 lines=10echo **********************************************************************echo ********将添加网络驱动器到本地倒数第一个可用盘符(一般为Z：)***********echo **********************************************************************echo@echo offnet use * \\Server\share P@ssw0rd /user:Domain\sharer /PERSISTENT:nonet use x: \\servername\sharename /y删除用：net use x: /dnet usr z: \\192.168.2.1\mcse passwoed /user:username可以通过下面的方法来实现：1、首先在域中建立一个文件服务器，然后在该文件服务器上创建一个共享文件夹，然后为每个域账号设置不同的NTFS权限和共享权限，比如账号A只有查看的权限，账号B拥有写的权限；2、在客户端client1上使用域账号A登录，右键点击我的电脑，选择映射网络驱动器，指定驱动器的名称，然后点击浏览，查找文件服务器和共享文件夹，请选中登录时重新连接。

windows 2003 域密码策略设置在域控制器上的开始菜单中打开“运行”，输入DSA.MSC后回车，即打开活动目录的用户和计算机管理控制台。

在域节点右键，进入属性，打开组策略选项卡，在里边找到Default Domain policy这个GPO选中他，点击下面的编辑，现在就会打开组策略编辑器，在这个组策略编辑器中找到一下路径：计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了（当然在这里你也可以为你的域设置你自己需要的密码策略），完成了以上设置后并没有完，还有最后一步，就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。

另：1、如何在WIN2003中添加用户？每次添加用户时总是提示我不符合密码策略，怎么办？问：如何在WIN2003中添加用户？我将公司的主域服务器改成win2003，但是win2003却不让我添加用户，每次添加用户是总是提示我不符合密码策略，怎么办？答：对于2003域，默认域的安全策略与2000域不同。

要求域用户的口令必须符合复杂性要求，且密码最小长度为7。

口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。

操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略：密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）3、使用gpupdate命令。

（推荐使用这个）说明：2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。