2003系统域的组策略应用详解_

在Windows Server 2003 域控制器中打开和使用组策略Windows 2000/XP/2003系统默认已经安装了组策略组件，以一台运行Windows Server 2003 (SP^D系统的域控制器为例,在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入gpedit.msc命令并按回车键，打开“组策略编辑器”窗口。

打开“组策略编辑器”窗口后，其默认的编辑对象是本地计算机。

用户如果想在本地计算机中将其他计算机作为组策略编辑对象，则需要将组策略作为独立的控制台管理程序来打开，具体操作步骤如下所述：第1步，在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入MMC 命令并按回车键。

第2步，打开“控制台1”窗口，依次单击“文件” t “添加/删除管理单元” 菜单命令，打开“添加/删除管理单元”对话框。

在“独立”选项卡中单击“添加”按钮，如图2008112619所示。

施|扩麻1使用此京采宿坦或孙除控飘向的菩FF草无.I言珑尊芯燧is PJ ISW SSS A图2008112619 “添加/删除管理单元”对话框第3步，打开“添加独立管理单元”对话框，在“可用的独立管理单元”列表中选中“组策略对象编辑器”选项，并单击“添加”按钮，如图2008112620所示可用的独立管理知元:图2008112620 “添加独立管理单元”对话框第4步，在打开的“选择组策略对象”对话框中单击“浏览”按钮， 打开“浏览 组策略”对象对话框。

切换到“计算机”选项卡并选中“另一台计算机”单选 框，单击“浏览”按钮，如图 2008112621所示管理单元 Y 元携监祝器 屈性能日志箱警报 ，希远程息面 句证书 密j 证书跌机构 闻征书模模 梁拦端熊务配置静担伸服务供应商Microsoft Ccrpwra... F5i craioft Cflrp&rA .. Microsoft Corpora..Murotftft Carport... Microsoft Cflrp&ra... Mi erasoftCflrpar*...Mi cr»io£t Ccrp&r * Mierasof tCorpora..Mierotfift Cflrpftr*..."Sji此管理单元允许摩疆辑貌策Directory 中的站点、主域览对象可同Active招梃疆或Hf 存在计算机上-曜器配■困g美闭©图2008112621 “选择组策略对象”对话框第5步，打开“选择计算机”对话框，通过高级查找功能在域中找到并选中目标计算机。

win2003server组策略设计方案-回复Win2003Server组策略设计方案引言组策略是Windows操作系统中一种非常强大的管理工具，它可以通过统一的方式集中管理网络中的计算机和用户。

在Win2003Server中，组策略可以应用于域中所有计算机和用户，通过定义和配置适当的组策略对象（GPO），管理员可以实现对不同用户、计算机和组织单元（OU）的灵活控制。

本文将详细介绍Win2003Server组策略设计方案，并提供一步一步的指导。

一、环境设计在开始组策略设计之前，我们需要考虑和了解现有的环境和需求。

以下是一些需要考虑的方面：1.1 网络拓扑了解网络拓扑对组策略设计非常重要。

网络拓扑可以包括域林的结构、域的数量和位置、域之间的信任关系等。

1.2 用户需求根据不同用户的角色和需求，我们可以对他们应用不同的组策略。

例如，可以设置某些用户只能使用特定的应用程序，而其他用户则可以使用更多的应用程序。

1.3 安全需求了解安全需求可以让我们根据实际需要设计合适的组策略。

例如，对于具有更高权限的管理员账户，可以设置更严格的安全策略，如密码复杂度要求和账户锁定策略。

二、设计和配置组策略在了解环境和需求之后，我们可以开始设计和配置组策略。

以下是一些重要的步骤和注意事项。

2.1 基于角色和需求的策略设计根据用户角色和需求，我们可以将用户分组，并为每个组应用适当的组策略。

例如，可以创建一个"销售"组，为该组用户应用一组与销售相关的策略，如设置销售软件的访问权限和设置销售人员的桌面背景。

2.2 配置组策略可以通过组策略管理工具（GPMC）来配置组策略。

打开GPMC，展开"域"节点，右键单击"组策略对象"，并选择"新建"。

根据需要，可以创建多个组策略对象，并将它们链接到相应的域、OU或站点。

2.3 设置组策略设置对于每个组策略对象，可以设置多个组策略设置。

windows 2003 域密码策略设置在域控制器上的开始菜单中打开“运行”，输入DSA.MSC后回车，即打开活动目录的用户和计算机管理控制台。

在域节点右键，进入属性，打开组策略选项卡，在里边找到Default Domain policy这个GPO选中他，点击下面的编辑，现在就会打开组策略编辑器，在这个组策略编辑器中找到一下路径：计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了（当然在这里你也可以为你的域设置你自己需要的密码策略），完成了以上设置后并没有完，还有最后一步，就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。

另：1、如何在WIN2003中添加用户？每次添加用户时总是提示我不符合密码策略，怎么办？问：如何在WIN2003中添加用户？我将公司的主域服务器改成win2003，但是win2003却不让我添加用户，每次添加用户是总是提示我不符合密码策略，怎么办？答：对于2003域，默认域的安全策略与2000域不同。

要求域用户的口令必须符合复杂性要求，且密码最小长度为7。

口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。

操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略：密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）3、使用gpupdate命令。

（推荐使用这个）说明：2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。

Windows2003组策略应用教学要求：掌握桌面、个性化“任务栏”和“开始”菜单、IE组策略设置。

教学重点：桌面、个性化“任务栏”和“开始”菜单、IE的组策略设置教学难点：各个设置项的含义和作用教学过程：一、“桌面”设置Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。

下面就让我们来看看几个实用的配置实例：位置：“组策略控制台→用户配置→管理模板→桌面”1．隐藏桌面的系统图标（Windows 2000/XP/2003）虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。

而采用组策略配置的方法，可以方便快捷地达到此目的。

比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上…网上邻居‟图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可（如图1）；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的…我的文档‟图标”和“删除桌面上的…我的电脑‟图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失；同样如果要让“回收站”图标消失，只须将“从桌面删除回收站”策略项启用即可。

图12．退出时不保存桌面设置（Windows 2000/XP/2003）此策略可以防止用户保存对桌面的某些更改。

如果你启用这个策略，用户仍然可以对桌面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，不过任务栏上的快捷方式总可以被保存。

在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。

3．屏蔽“清理桌面向导”功能（Windows XP/2003）“清理桌面向导”会每隔60 天自动在用户的电脑上运行，以清除那些用户不经常使用或者从不使用的桌面图标。

教学时刻第五周2021-3-18教学课时3教案序号12-14教学目标1、掌握如何建立和治理OU2、学会在win2003中应用组策略教学过程：一、OU〔组织单元〕的治理1、OU的概念域是最小的治理单位，在活动名目中，域一般对应公司，而OU那么对应于公司中的部门。

OU是活动名目中的容器，能够在OU中建立用户、组等其他对象，也能够在OU中建立OU。

2、建立OU及子对象〔1〕注重图标。

〔2〕建立步骤：在需要创立的空白处右击，选择“新建〞——“组织单元〞，在对话框内输进OU名称即可。

〔3〕在OU中能够放用户、组、打印机、共享文件夹、子OU等。

实验一：OU的治理1、在test下中新建“教师〞和“学生〞两个OU，再在“教师〞OU下新建“一般教师〞OU。

2、“教师〞OU中包括t1，t2账户，“学生〞OU中包括s1，s2账户，“一般教师〞OU中包括c1，c2账户。

二、组策略概述1、组策略的概念〔1〕组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略能够给同组的计算机或者用户强加一套统一的标准，包括治理模板设置、Windows设置、软件设置。

〔2〕组策略配置包含在一个组策略对象〔GPO〕中，该对象又与选定的活动名目效劳容器〔如站点、域、组织单元OU等〕相关联，可不能碍事没有参加域的计算机和用户。

〔3〕组策略配置类型有：计算机配置和用户配置。

〔4〕组策略分为：本地平安策略和活动名目的组策略。

本地平安策略适用于本地用户和组，我们所讲的是活动名目的组策略，活动名目安装好以后就自动建立了两个组策略〔域操纵器平安策略和域平安策略〕。

2、组策略的应用顺序〔1〕本地组策略〔2〕域组策略〔3〕域操纵器组策略〔4〕组织单元组策略三、组策略对象的治理我们能够通过ActiveDirectory用户和计算机建立链接到域和OU的策略，ActiveDirectory站点和效劳建立链接到站点的策略。

1、创立组策略步骤：右击-属性-“组策略〞选项卡-“新建〞按钮2、设置组策略步骤：右击-属性-“组策略〞选项卡-“编辑〞按钮3、用组策略治理用户工作环境实验二：1、教师OU的所有用户的IE扫瞄器的代理效劳器的地址都自动设置为192.168.0.1，端口号设置为8080。

第10章组策略配置、应用与管理10.1 组策略基础组策略是Active Directory（活动目录）服务中允许管理员针对用户和计算机进行配置的基础架构。

它与注册表的功能类似，但其设置组织形式更加直观，更加便于操作、配置与管理。

它将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

10.1.1 组策略结构组策略设置主要包括：用户计算机环境（如"开始"菜单、桌面快捷项、控制面板选项、可用程序等）、计算机和用户的本地或网络访问权利，以及其他安全控制策略（如组策略中的各种安全选项、IP安全策略等）。

可以用组策略定义用户和计算机组的配置，如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及IE的维护指定策略设置。

创建的组策略设置包含在组策略对象（GPO）中，通过将GPO与所选的Active Directory系统容器--站点、域和组织单位相关联，实现组策略设置的具体应用。

还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。

组策略可基于活动目录中的用户和计算机账户两种对象分别进行配置，所以在GPO中的组策略设置项中包括"计算机配置"和"用户配置"两大部分（如图10-1所示），这就是组策略的基本结构。

而且可以看到，在这两大部分中，有许多设置项是相同的，如都有"软件设置"、"Windows设置"和"管理模板"等这几部分，而且在这些部分中，又有许多相同的子设置选项。

我们知道，"计算机配置"是针对计算机对象而言的，"用户配置"是针对用户对象而言的，而用户配置又是通过计算机来应用的，这就存在一个可能两者的相同选项设置不一致、有冲突的问题，这时又该应用哪个设置呢？根据组策略规定，当两者的配置有冲突时，最终以计算机策略为依据。