windows组策略

1.打开组策略
在Windows中可以通过命令gpedit.msc打开组策略编辑器或者在所以程序中找到“本地安全策略”单击打开

本地安全策略仅包含本地组策略——Windows设置——安全设置选项。
2.组策略配置
Windows本身的可视化操作减轻了用户在配置组策略上的认知负担，列如，关闭系统还原功能，只需要在组策略——管理模板——系统——系统还原项上单击打开对它的配置选项



组策略没有固定的配置策略，通常会根据业务的需求进行相关配置，不过，更常用的配置是在安全设置中配置账户策略和windows防火墙策略，在管理模板中配置文件丶注册表丶桌面等策略等。
然而企业管理过程中，大部分时候不会为某一台PC进行策略配置，企业终端很多，如何一次性配置管理众多电脑就成了企业的一个重要话题。
3.活动目录
为了解決这一问题就提出了“域”的概念一集中管理所有用户的权限以及设定如何登陆到文骤上的共享个人电脑。这个用来管理该域的服务器被称为“域控制器”。与通常启动个人电脑时一样用户输入用户名和密码登录到域，再访问这个“域”中的共享文件时就无须每次输入密码了。需要选强调的一点是，在域控制器中必须安装 Wind0r以上的服务器OS我们可以把域和工作组联系起来理解在工作组上你一切的设置在本机上进行包括各种策略，用户登陆也是登陆在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域任何一台计算机登陆工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，你要访问其中的计算机，还是要到被访问计算机上来实现用户验证的。工作组是“免费的旅店”那么域( Domain就是“星级的宾馆”;工作组可以随便出出进进，而域则需要严格控制。“域”的真正含义指的是务器控制网络上的计算机能否加入的计算机组合。在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器( Domain Controller，简写为DC)
域成员中不仅仅是员工或个人的电脑，它是多元的，可以是其它应用服务器、防火墙、打印机等等域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“・”代表一个层次，如域chid. Microsoft. com就比 Microsoft. com这个域级别低，因为它有两个层次关系，而 Microsoft. com只有一个层次。而域Grandchild.Child.Microsof.com又比Chid.Microsoft.com级别低，道理一样。他们都属于同一个域树。Child.Microsof.om就属于Microsoft.com的子域。多个域树可以组成一个域林
4.活动目录设置
打开服务器管理器，点击管理，添加角色和功能理
首先，配置Windows Server 2008 R2的tcp/ip信息，建议配置静态的ip地址。

运行dcpromo命令，drpromo命令是升级/降低DC的命令。升级向导首先检查系统是否部署了活动目录服务。

选择“在新林中新建域”，表示创建是林中的第一个域，是一个新林的林跟域。


设置林根的域名xxx，系统将检查网络中是否已经存在xxx林域名。

设置域的功能级别和林功能级别部分可以保留默认设置。

Dns服务器选项，当安装往里走的第一台域控制器时，一定需要添加DNS服务器的配合，DNS的作用是用于客户机在网络中定位查找到域控制器。

设置活动目录DC服务器数据库和日志的存储文件夹，该分区必须是NTFS分区。

设置目录服务还原模式的Administrator密码，该密码与Administrator的密码可以不同。该密码用于当DC发生灾难故障需要利用之前的DC备份实施还原时，登录灾难恢复模式输入的administrator用户口令。

活动目录服务安装成功后，向导提示需要重启才能是服务生效。

当活动目录服务安装成功后，可以通过管理工具打开活动目录的管理工具“Active Directiry用户和计算机”组件，验证活动目录的工作状态。