实现组策略的目的:
Active Directory目录服务使用组策略管理网络中的用户和计算机,所以实现和使用组策略是域管理中的重点。使用组策略时,可以一次性设定用户的工作环境状态,再由Windows Server 2003操作系统沿用我们设定的组策略设置。组策略设置可以在整个组织范围内应用,也可以针对待定的用户和计算机组应用。在日常工作中组策略常用的一些功能如下:
? 软件安装;
? 管理模板;
? 文件夹重定向;
? 远程安装服务;
? 安全设置;
? 脚本(启动/关机和登录/注销);
? Internet Explorer 维护;
本章介绍如何在 Windows Server 2003 网络环境中进行组策略设置,主要有以下内容:
clip_p_w_picpath001 实现组策略对象
clip_p_w_picpath001[1] 在域中实现组策略对象
clip_p_w_picpath001[2] 组策略部署管理
一、组策略应用顺序:(按如下顺序应用策略)
1. 惟一的本地组策略对象;
2. 站点组策略对象,按照由管理工作所指定的顺序;
3. 域组策略对象,按照由管理工作所指定的顺序;
4. 组织单位组策略对象,按照从大组织单位到小组织单位顺序(从父组织单位到子组织单位),而在每个组织单位级别中,则按照由管理工作所指定的顺序。
网络管理员&MCSE2003之10:第6章 实现组策略_第1张图片
 
二、 在组策略中, 用户” 和“ 计算机” 是接受策略的惟一 Active Directory 对象类型,用户配置策略,只对用户帐户生效,而无论用户登陆在那台计算机上,用户配置策略始终跟随着指定的用户帐户;计算机策略只对计算机帐户生效,无论任何用户使用这台计算机登陆,计算机策略都将会应用到这些用户上,一般而言,当计算机组策略设置和用户组策略设置发生冲突时,系统将优先应用计算机组策略设置。
计算机的组策略包括操作系统行为、桌面行为、安全设置、计算机启动和关机脚本、计算机分配的应用程序选项和应用程序设置。在操作系统初始化和整个策略刷新间隔期间,系统将会应用与计算机有关的组策略设置,它包含为计算机的所有用户定义桌面环境或在网络计算机上执行安全策略的组策略设置。“用户配置”通常包括“软件设置”、“Windows设置”和“管理模板”子项,但由于可从组策略对象编辑器中添加或删除扩展,因此系统显示的子项可能不同。
用户的组策略设置包括待定的操作系统行为、桌面行为、安全设置、分配和发布的应用程序选项、应用程序设置、文件夹重定向选项和用户登录及注销脚本。在用户登录计算机以及整个策略刷新间隔期间,系统将会应用与用户相关的组策略设置,它包含自定义用户桌面环境或对用户实行锁定策略的组策略设置。
需要指出的是在计算机配置和用户配置的“Windows配置”文件夹中的“安全设置”是一台或多台计算机上配置的规则,用以保护计算机或网络资源,通过使用安全设置,管理员可以指定组织单位、域或站点的安全策略。
【注意:策略不应用于安全组,由于性能方面的原因,安全组用于筛选策略。如果将域控制器移动到“Domain Controllers”组织单位之外,那么“Default Domain Controllers Policy”将不可用。如果必须在不同的组织单位里保留一个域控制器,可以把“Default Domain Controllers Policy”链接到该组织单位。】
三、设置本地计算机策略(本地组策略对象存储位置在Systemroot\System32\GroupPolicy中)
1、运行本地计算机策略:在开始→运行中输入:gpedit.msc,或者在开始→运行中输入:MMC,在MMC的文件→添加/删除管理单元→独立→添加→组策略对象编辑器→添加→完成。
网络管理员&MCSE2003之10:第6章 实现组策略_第2张图片
网络管理员&MCSE2003之10:第6章 实现组策略_第3张图片
【实例1 :使用本地计算机组策略关闭事件跟踪程序】
在练习中每次关机、重启等操作,2003Server事件跟踪程序总要问为什么,确实很烦人,我们可以通过本地组策略来把它关掉,但在工作中,跟踪事件的原因是很重要的,在事件跟踪程序的注释中填写操作原因,为以后的维护和维修能提供一个历史查询,方便问题的定位。
网络管理员&MCSE2003之10:第6章 实现组策略_第4张图片
1、在“本地计算机”策略→计算机配置→管理模板→系统,在右侧双击“显示“关闭事件跟踪程序””。
网络管理员&MCSE2003之10:第6章 实现组策略_第5张图片
选择“已禁用”确定。
网络管理员&MCSE2003之10:第6章 实现组策略_第6张图片
测试下,单击开始→关机,如下图,事件跟踪已经关闭。
网络管理员&MCSE2003之10:第6章 实现组策略_第7张图片
【实例2 :使用本地计算机组策略阻止用户关闭服务器】
1、在“本地计算机”策略→用户配置→管理模板→任务栏和开始菜单,在右侧双击“删除和阻止访问“关机”命令”。
网络管理员&MCSE2003之10:第6章 实现组策略_第8张图片
在对话框中选择“已启用”后确定。
网络管理员&MCSE2003之10:第6章 实现组策略_第9张图片
需要先注销,登陆后,在开始菜单中可以发现关机选项已经没有了。
网络管理员&MCSE2003之10:第6章 实现组策略_第10张图片
四、在域中实现组策略对象
1、 创建组策略对象的工具
clip_p_w_picpath001[3] 默认组策略工具
       ?Active Directory 用户和计算机(域和组织单位组策略对象)
       ?Active Directory 站点和服务(站点组策略对象)
       ?本地安全策略(本地计算机安全设置)
clip_p_w_picpath001[4] 附加工具
?组策略管理(综合工具,是域、组织单位和站点组策略对象,需要另外安装,在本篇最后附件中可以下载:gpmc.msi, 一旦安装后将会替代“ Active Directory 用户和计算机”、 “Active Directory 站点和服务”中的组策略设置,也还集中了策略结果集
2、 组策略对象链接
组策略对象 (GPO),是组策略设置的集合。GPO 实质上是由组策略对象编辑器创建的文档。GPO 存储在域级别,它们可以影响包含在站点、域及组织单位中的用户和计算机。此外,每台计算机都只有一组本地存储的策略设置(称为“本地组策略对象”);
在“Active Directory 用户和计算机”和“Active Directory 站点和服务”中设置一个对象的组策略,比如对一个OU建立组策略,实际上是建立一个GPO,并且把这个GPO链接在这个OU上,而在组策略管理工具中则要显示的建立一个GPO,然后链接GPO到对象,一个GPO可链接多个对象。(注意:不能把 GPO 链接到诸如容器的 Active Directory 中的容器。 然而,任何链接到域的 GPO 适用于这些容器中的用户和计算机)
3、 Active Directory 中组策略权限的继承
组策略权限继承的顺序就是组策略应用的顺序,可以在站点、域和组织单位上设置阻止权限继承,而不能在单个组策略对象上设置 。
 
五、组策略部署管理
1、冲突解决:在 Active Directory 层次中组策略设置发生冲突时,应用子容器的组策略对象设置。
2 修改继承选项: 不覆盖(禁止替代),阻止子容器使用优先级更高的设置替代组策略对象; 阻止策略继承,不继承上级策略。当发生冲突时,“禁止替代”选项总是优先于“阻止继承”选项。(在“组策略管理”尚未安装前“Active Directory 用户和计算机”中的“强制”选项称为“禁止替代”。)
3、 组策略对象链接的属性:强制(一旦组策略对象链接的属性设为强制后,子对象阻止继承将不会生效)、启用和禁用链接、冲突的链接(次序号数字最大的将最后应用,组策略设置以它为准)。
六、组策略对象部署的筛选
默认情况下,影响容器的组策略对象中的所有组策略设置都将应用到容器中所有用户和计算机上,但有时候并不需要这样,比如OU中的委派管理员,通过使用筛选功能,可以确定在选定容器中的用户和计算机上应用或拒绝那些设置。
1、 配置组策略筛选
2、 在下图“组策略对象”中单击一GPO,在右侧细节窗格的“作用域”选项卡上单击“添加”,在“选择用户、计算机或组”对话框的“输入要选择的对象名称”框中,输入安全主体名称,然后单击“确定”。
3、 在“委派”选项卡的“高级”中,可设置“允许”、“拒绝”权限。
网络管理员&MCSE2003之10:第6章 实现组策略_第11张图片