計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)外文翻譯 2_第1頁(yè)
計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)外文翻譯 2_第2頁(yè)
計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)外文翻譯 2_第3頁(yè)
計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)外文翻譯 2_第4頁(yè)
計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)外文翻譯 2_第5頁(yè)
已閱讀5頁(yè),還剩18頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、畢業(yè)設(shè)計(jì)(論文)譯文專用紙 第22頁(yè)2011年 3 月作者:Darren Mar-Elia, Derek Melber, William R. StanekThe出版社:Microsoft Press出版時(shí)間:2005-05-25章節(jié):第一張,3至12頁(yè)組策略的概述在本章,我們將介紹組策略。 你將學(xué)到組策略是做什么的 ,它是怎樣被用于域和工作組的設(shè)置中,以及實(shí)施組策略需要什么基礎(chǔ)設(shè)施。如果你要搭建一個(gè)活動(dòng)目錄服務(wù)的網(wǎng)絡(luò)環(huán)境,你就需要組策略。 就是這么回事。毫無疑問,沒有一點(diǎn)問題。你面對(duì)的真正的問題是給你組織的架構(gòu)和需求如何最大限度的運(yùn)用組策略提供的。 為什么?因?yàn)榻M策略意味著你作為管理員的生活

2、變的更容易。微軟定義組策略這個(gè)術(shù)語(yǔ)是為了描述能夠允許你一起設(shè)置組策略同時(shí)把它們運(yùn)用到離散集合(不相干記錄)的技術(shù)。實(shí)際上,組策略是一組為了簡(jiǎn)化管理共同的、重復(fù)的以及獨(dú)特的任務(wù)而又難以手工實(shí)施但是可以被自動(dòng)化執(zhí)行的策略設(shè)置(例如部署新的軟件或者強(qiáng)制執(zhí)行能夠安裝在電腦上的程序)。相關(guān)信息關(guān)于域名服務(wù)器體系結(jié)構(gòu)的信息,參考Microsoft Windows Server 2003 Inside Out(微軟服務(wù)器2003視窗)的第26章(微軟出版,2004)。關(guān)于活動(dòng)目錄系結(jié)構(gòu)的信息,參考Microsoft Windows Server 2003 Inside Out的第32章。 關(guān)于組策略實(shí)施的信

3、息,參考本書的第四章。了解組策略組策略提供了一種方便高效的方法來管理計(jì)算機(jī)和用戶設(shè)置。組策略做什么通過組策略,你能用完成(manage)設(shè)置一個(gè)用戶或者一臺(tái)計(jì)算機(jī)的方法完成設(shè)置成千的用戶或者計(jì)算機(jī)無需離開你的辦公桌(座位)。對(duì)于這些,你可以使用一個(gè)或多個(gè)管理工具改變?cè)O(shè)置成期望值,同時(shí)通過網(wǎng)絡(luò)把這些改變應(yīng)用到一段期望的用戶和計(jì)算機(jī)或者任意一個(gè)用戶和計(jì)算機(jī)。一種理解思路是組策略好比一組規(guī)則能夠幫助你管理用戶和計(jì)算機(jī)。盡管缺乏一致的理解,用這種思路理解組策略可能比以前的更直觀。仍然不可思議? 想想在組策略(出現(xiàn))之前,許多組策略的管理改變只能通過修改Windows注冊(cè)表,每一個(gè)改變不得不單獨(dú)的在每一

4、臺(tái)目標(biāo)主機(jī)上進(jìn)行。隨時(shí)間變化,實(shí)施的棘手,可能會(huì)導(dǎo)致災(zāi)難性后果?當(dāng)然了。進(jìn)入組策略,憑借它你可以簡(jiǎn)單的使用或者取消一個(gè)策略調(diào)整注冊(cè)表鍵值或者其它設(shè)置,這些改變?cè)诮M策略下次刷新時(shí)能夠被自動(dòng)的應(yīng)用到你指定的每臺(tái)計(jì)算機(jī)上。由于改變能夠被效仿(通過組策略控制臺(tái))在修改被應(yīng)用之前,(因此)你可以確定每一個(gè)期望改變的效果。另外,如果你不滿意(改變的)結(jié)果,你可以通過設(shè)置策略取消改變使其回到初始或者未配置狀態(tài)。進(jìn)一步采取這種情形,當(dāng)你用手工修改一臺(tái)機(jī)器的多個(gè)微軟窗口的注冊(cè)表設(shè)置項(xiàng)這種情況時(shí)你將面對(duì)問題。可能用戶不能登錄,(計(jì)算機(jī))它們不能執(zhí)行必須的動(dòng)作,或者計(jì)算機(jī)不能正常的響應(yīng)。如果您記錄了每臺(tái)計(jì)算機(jī)上的每

5、個(gè)變動(dòng),你可能取消那些改變?nèi)绻銐蛐疫\(yùn)同時(shí)你還正確的記錄初始的設(shè)置以及改變。相比之下,組策略允許你返回(“備份”)到改變執(zhí)行之前的組策略狀態(tài)。如果一些東西運(yùn)行出錯(cuò),你可以恢復(fù)組策略到它的初始狀態(tài)。當(dāng)你恢復(fù)組策略狀態(tài),你可以確定在下次組策略刷新時(shí)所有的改變沒有執(zhí)行。組策略怎么工作講到組策略刷新,你可能對(duì)這個(gè)術(shù)語(yǔ)意思的感到疑惑。詳細(xì)的細(xì)節(jié)見第二章,這里只介紹基本的組策略應(yīng)用(開始過程)和簡(jiǎn)單的刷新(隨后過程)。在活動(dòng)目錄中,兩個(gè)不同的的策略集合(組)被定義: 計(jì)算機(jī)策略:它們保存在組策略中的計(jì)算機(jī)配置下并應(yīng)用于計(jì)算機(jī)。 用戶策略:它們保存在組策略中的用戶配置下并被用戶使用。程序初始化時(shí)相關(guān)的策略通

6、過兩種不同的事件被觸發(fā):當(dāng)計(jì)算機(jī)開機(jī)時(shí)計(jì)算機(jī)策略進(jìn)程被觸發(fā)。當(dāng)計(jì)算機(jī)開始工作網(wǎng)絡(luò)連接初始化,計(jì)算機(jī)策略設(shè)置被應(yīng)用同時(shí)一個(gè)歷史的注冊(cè)表基本設(shè)置以%AllUsersProfile%Ntuser.pol被使用。 當(dāng)用戶登錄計(jì)算機(jī)時(shí)用戶策略進(jìn)程被觸發(fā)。當(dāng)一個(gè)用戶登錄到計(jì)算機(jī)上,用戶策略設(shè)置被應(yīng)用同時(shí)一個(gè)歷史的注冊(cè)表基本設(shè)置 %UserProfile%Ntuser.pol 被使用。一旦被使用,組策略設(shè)置會(huì)自動(dòng)的刷新保持當(dāng)前的設(shè)置同時(shí)表現(xiàn)出執(zhí)行后相應(yīng)的改變。在默認(rèn)情況下,域控制器上的組策略每5分鐘刷新一次。對(duì)于工作站和其他類型的服務(wù)器,默認(rèn)情況下組策略每90-120分鐘刷新一次。除此之外,在間隔時(shí)間內(nèi)組策

7、略每16個(gè)小時(shí)刷新一次不管是否有策略設(shè)置的改變。注意:公開的,在工作站和成員服務(wù)器上組策略的默認(rèn)刷新間隔時(shí)間是90分鐘,但是增加30分鐘的截止時(shí)間來避免域控制器中多個(gè)同時(shí)刷新(造成的)的請(qǐng)求泛濫。這種作用使得默認(rèn)刷新時(shí)機(jī)從90到120分鐘(不等)。要點(diǎn):其他一些因素也能影響組策略刷新, 包括慢關(guān)聯(lián)檢測(cè)如何被確定 (每個(gè)組策略的慢關(guān)聯(lián)檢測(cè)策略在 Computer ConfigurationAdministrative TemplatesSystemGroup Policy下)和ComputerConfigurationAdministrative TemplatesSystemGroup Pol

8、icy 下策略的策略進(jìn)程設(shè)置。你可以使用組策略控制臺(tái)(GPMC)查看最近一次組策略刷新。(參閱目錄第三章“Determining Policy Settings and Last Refresh”目錄部分。)使用和實(shí)施組策略組策略對(duì)于活動(dòng)目錄的成功實(shí)施是那么的重要以至于絕大多數(shù)管理員把它做為活動(dòng)目錄的組成對(duì)待。這大部分是正確的以這種思路理解也是可以的但是使用組策略不是必須需要活動(dòng)目錄。在工作組和域中使用組策略你能夠使用組策略管理運(yùn)行微軟Windows 2000和Windows XP 專業(yè)版的工作站甚至運(yùn)行Windows 2000 and Windows Server 2003的服務(wù)器。當(dāng)然你不

9、能使用組策略管理運(yùn)行Windows NT®的工作站或者服務(wù)器,Windows 95, Windows 98, Windows Millennium Edition (Me),或者Windows XP Home Edition ,(但是)你可以在企業(yè)(域)和本地(工作組)的環(huán)境中使用組策略。 在企業(yè)環(huán)境中部署活動(dòng)目錄,徹底的設(shè)置策略環(huán)境是很便利的。這些策略設(shè)置參考域中基本組策略,活動(dòng)目錄中基本組策略,或者最簡(jiǎn)單的組策略(的設(shè)置)。在活動(dòng)目錄中,位置和組織單位是兩個(gè)重要的相關(guān)元素 (組織單元)。位置代表著你的網(wǎng)絡(luò)的物理結(jié)構(gòu)。它是一組TCP/IP 子網(wǎng)段被實(shí)施用來控制在物理網(wǎng)絡(luò)位置中目錄響

10、應(yīng)流量和隔離登錄認(rèn)證流量。OUs常常用于域中的一組對(duì)象。在域中一個(gè)OU是一個(gè)邏輯上的管理它可以代表一個(gè)組織或者它們的目的功能。組策略對(duì)象的工作組策略被應(yīng)用到不相關(guān)的地方,這涉及到組策略對(duì)象(GPOs)。GPOs控制設(shè)置能夠被計(jì)算機(jī)和用戶以多種方式應(yīng)用在特定的活動(dòng)目錄域,地點(diǎn),或者OU中。由于活動(dòng)目錄中的基本層次結(jié)構(gòu),高等級(jí)的GPOs設(shè)置也能被低級(jí)的GPOs繼承。例如域的設(shè)置能被在那個(gè)域中的Engineering OU繼承,這個(gè)域的設(shè)置將會(huì)被應(yīng)用到Engineering OU 中的用戶和計(jì)算機(jī)。如果你不想策略設(shè)置被繼承,你可以禁用這些設(shè)置來確保只有那個(gè)為低一級(jí)組策略設(shè)置的組策略對(duì)象被應(yīng)用。要點(diǎn):

11、由于域中組策略,你可能認(rèn)為使用組策略將會(huì)影響深林或域的作用強(qiáng)度,但是這不是問題。在深林和域中許多特定的功能模式不需要使用組策略。森林作用強(qiáng)度可以是Windows 2000, Windows Server 2003 Interim,或者 Windows Server 2003(操作系統(tǒng))。域作用水平強(qiáng)度可以是Windows 2000 Mixed,Windows 2000 Native,Windows Server 2003 Interim,或者 Windows Server 2003(操作系統(tǒng))。 在本地環(huán)境,一個(gè)被稱為本地組策略的組策略子集是便利的。就像名字所指,本地組策略允許你管理策略設(shè)置并

12、作用到每一個(gè)人登錄到的本地機(jī)器。這就意味著本地組策略應(yīng)用到了工作組成員中任何登錄到計(jì)算機(jī)的用戶或者管理員和域成員中任何登錄到本地計(jì)算機(jī)的用戶或管理員。由于本地組策略是組策略的一個(gè)子集,(因此)有些在域中可以設(shè)置的事情在本地卻不能。一般來說,你可以通過組策略管理策略區(qū)域中你不能管理的本地與活動(dòng)目錄有關(guān)的特征,例如安裝軟件。猶如活動(dòng)目錄基本組策略,然而,本地策略通過組策略對(duì)象被管理。這些組策略對(duì)象參與扮演本地組策略對(duì)象角色。除去本地組策略和活動(dòng)目錄基礎(chǔ)組策略的基本上的差異,兩者的策略類型被管理的方式一樣。實(shí)際上,你使用相同的工具來管理它們。關(guān)鍵的不同在你使用的GPO中。在本地計(jì)算機(jī)上,你使用專有的

13、LGPO 。如果你已經(jīng)部署活動(dòng)目錄,那么,你可以使用除LGPOs之外的域,單元,和OU GPOs 。注意:無論它們是客戶端工作站,成員服務(wù)器,或者域控制器,所有的Windows 2000, Windows XP Professional,和 Windows Server 2003 的計(jì)算機(jī)都有一個(gè)本地組策略項(xiàng)目。LGPO總是被處理的。但是,它具有最小的優(yōu)先級(jí),這意味著它可以通過設(shè)置站點(diǎn),域和OU被設(shè)置取代。雖然域控制器有本地組策略項(xiàng)目,(但是)對(duì)于域控制器的組策略被管理時(shí)最好通過一個(gè)被稱為默認(rèn)域控制器策略的默認(rèn)GPO。對(duì)于域有一個(gè)被叫做默認(rèn)域策略的默認(rèn)GPO。就像你想象的那樣,這些默認(rèn)的GPO

14、s有特殊的目的同時(shí)以很特別的方法被使用。稍后你將會(huì)學(xué)到更多的關(guān)于這些默認(rèn)的GPOs在本章標(biāo)題為 “Working with Linked GPOs and Default Policy”的部分。組策略入門到目前為止我們討論了組策略做什么,怎么做,怎么工作,但是我們沒有討論它幫你更好地管理你的網(wǎng)絡(luò)的確切的方法。了解組策略設(shè)置和選項(xiàng)首先,組策略或許不是你想象的那樣。如果你從Windows NT 4.0 的工作環(huán)境轉(zhuǎn)移到Windows Server 2003的環(huán)境中,你應(yīng)該知道前面合法的組策略和Windows NT 系統(tǒng)的策略是不同的。Windows NT系統(tǒng)的策略是十分受限制的,坦率的講即使和組策

15、略作用的領(lǐng)域相同。如果你在Windows 2000或者稍后的Windows操作系統(tǒng)上工作,你可能已經(jīng)看到組策略能做什么,不能做什么,或者你聽到一些人錯(cuò)誤的把他們的困境歸咎于組策略。最直接的事實(shí)是你“告訴”它什么組策略就做什么。你通過配置策略設(shè)置管理組策略。你應(yīng)用的一個(gè)策略設(shè)置是一個(gè)單獨(dú)的設(shè)置,例如限制訪問運(yùn)行對(duì)話框。大部分策略設(shè)置項(xiàng)有三種基本的狀態(tài): 啟用:策略設(shè)置項(xiàng)被打開,它的設(shè)置處于活動(dòng)(狀態(tài))。通常的你啟用一個(gè)策略設(shè)置應(yīng)確保它被執(zhí)行。一旦啟用,一些策略設(shè)置要求你配置額外的項(xiàng)為策略設(shè)置的應(yīng)用做出調(diào)整。 禁用:策略設(shè)置項(xiàng)被關(guān)閉,它的設(shè)置不會(huì)被應(yīng)用。通常地,禁用一個(gè)策略設(shè)置應(yīng)確保它不被執(zhí)行。

16、未配置:策略設(shè)置沒有被應(yīng)用。策略設(shè)置即不是活動(dòng)也不是無效,同時(shí)沒有變化因策略導(dǎo)致配置設(shè)置觸發(fā)。對(duì)于他們自己,這些狀態(tài)相當(dāng)?shù)暮?jiǎn)單。但是一些人認(rèn)為組策略是復(fù)雜的因?yàn)檫@些基本狀態(tài)(改變)會(huì)引起繼承和阻塞(這里我們概要地涉及將在第三章做詳細(xì)討論)。記住兩條關(guān)于繼承和阻塞的規(guī)則,你將會(huì)在通往組策略成功的路上事半功倍: 如果繼承策略設(shè)置被絕對(duì)的執(zhí)行,你不能越控他們繼承策略設(shè)置被應(yīng)用不管當(dāng)前GPO的策略狀態(tài)指派。 如果在當(dāng)前的GPO中繼承策略設(shè)置被阻塞同時(shí)不是必須執(zhí)行,繼承策略設(shè)置能越控他們繼承策略設(shè)置不會(huì)應(yīng)用,只有當(dāng)前GPO中的策略設(shè)置被應(yīng)用。使用組策略管理現(xiàn)在你已經(jīng)確切的知道怎么應(yīng)用單獨(dú)的策略設(shè)置,讓我

17、們一起看看在管理域中應(yīng)用組策略。無論是你談?wù)摰谋镜亟M策略或者域基本組策略,管理域和他們很類似,但是在域基本組策略中你可以干更多事情。就像先前被提到過的,你不能使用本地組策略管理一些需要活動(dòng)目錄的特性;這些使用本地組策略能做與否的約束是本身的限制因素。通過組策略,你可以管理這些關(guān)鍵的管理區(qū)域:計(jì)算機(jī)和用戶腳本:為用戶配置登錄/注銷腳本和為計(jì)算機(jī)配置開機(jī)/關(guān)機(jī)腳本。文件夾重定向:為用戶轉(zhuǎn)移關(guān)鍵性的數(shù)據(jù)文件夾到網(wǎng)絡(luò)共享以便他們可以被更好的管理和規(guī)律性的備份(只適用基于域的組策略)。 一般的計(jì)算機(jī)安全性:為賬戶建立安全設(shè)置,事件日志,約束組,系統(tǒng)服務(wù),注冊(cè)表,和文件系統(tǒng)。(對(duì)于本地組策略,你只能為賬戶

18、策略提供管理一般性的計(jì)算機(jī)安全) 本地安全策略:設(shè)置策略審計(jì),用戶權(quán)限指派,和用戶權(quán)限。IE維護(hù):配置瀏覽器的界面,安全性,重要的URLs,默認(rèn)程序,代理,和其他更多。IP安全性:為客戶端,服務(wù)器,固定服務(wù)器設(shè)置IP安全策略 公鑰安全性:設(shè)置自動(dòng)注冊(cè)公鑰策略,加密文件系統(tǒng)(EFS),企業(yè)信托,等等。 軟件設(shè)置:自動(dòng)地安裝新軟件和軟件升級(jí)(只適用基于域的組策略)。 遠(yuǎn)程服務(wù)設(shè)置:在客戶端安裝中設(shè)置的選項(xiàng)可用。 無線網(wǎng)絡(luò)(IEEE 802.11):為接入點(diǎn),客戶機(jī),設(shè)置無線網(wǎng)絡(luò)工作策略和網(wǎng)絡(luò)優(yōu)先級(jí)(只適用基于域的組策略)。 軟件限制:限制軟件的部署和使用本地組策略不支持基于用戶的軟件限制策略,只支

19、持基于計(jì)算機(jī)的軟件限制策略。雖然一個(gè)特別的策略集合被稱作管理模板,但是你也可以管理關(guān)于各個(gè)方面的用戶圖像界面接口(GUI),從菜單到桌面,任務(wù)欄,還有更多。管理模塊策略設(shè)置作用實(shí)際的注冊(cè)表設(shè)置,因此無論你是工作在本地組策略或者基于域的組策略適用的策略幾乎是同一的。你可以使用管理模塊來管理: 控制面板 控制控制面板的進(jìn)入和選擇。你可以配置設(shè)置添加或刪除程序,打印機(jī),和地域與語(yǔ)言選擇。 桌面 配置Windows桌面,活動(dòng)桌面的外觀與交互,和從桌面活動(dòng)目錄搜索的選擇。 網(wǎng)絡(luò) 配置網(wǎng)絡(luò)工作和網(wǎng)絡(luò)客戶端選項(xiàng),包括文件卸載,DNS 客戶端,和網(wǎng)絡(luò)連接。 打印機(jī) 配置共享打印機(jī),瀏覽打印機(jī),打印池和直接選項(xiàng)

20、 共享文件夾 允許公用的文件夾共享和分配文件系統(tǒng)(DFS)目錄。 開始程序和任務(wù)欄 配置開始程序和任務(wù)欄,首要的移出或隱藏項(xiàng)目和選項(xiàng)。 系統(tǒng) 配置策略相關(guān)的正常的系統(tǒng)設(shè)置,磁盤引述,用戶簡(jiǎn)介,登錄,電源管理,系統(tǒng)恢復(fù),錯(cuò)誤報(bào)告,和其他更多。 Windows 組件 配置是否或者怎么使用Windows組件,例如事件監(jiān)視器,任務(wù)計(jì)劃?rùn)?,和Windows更新。了解組策略所需的基礎(chǔ)設(shè)施本地組策略是可用的對(duì)于運(yùn)行Windows 2000, Windows XP Professional, or Windows Server 2003的計(jì)算機(jī)來說。基于域的組策略只可用在運(yùn)行活動(dòng)目錄的網(wǎng)絡(luò)中。由于活動(dòng)目錄工作

21、依靠TCP/IP協(xié)議和域名解析(DNS),因此你必須部署TCP/IP網(wǎng)絡(luò)環(huán)境,DNS,和活動(dòng)目錄使用的基于域的組策略。DNS和活動(dòng)目錄DNS提供能使一臺(tái)計(jì)算機(jī)找到另一臺(tái)計(jì)算機(jī)的名字解析。這是一個(gè)有IETF給出的服務(wù)標(biāo)準(zhǔn)命名在RFC 1034 和 RFC 1035被詳細(xì)的說明。在工作站和服務(wù)器上,DNS在TCP/IP協(xié)議簇被自動(dòng)的安裝,它提供幾種類型,正向請(qǐng)求允許計(jì)算機(jī)把主機(jī)名轉(zhuǎn)換成IP地址,反向請(qǐng)求允許計(jì)算機(jī)把一個(gè)IP地址轉(zhuǎn)換成主機(jī)名?;顒?dòng)目錄為域和其他特征提供必需的目錄服務(wù)使他們能夠通過組策略被提前控制。對(duì)活動(dòng)目錄來說基本的通訊協(xié)議是(LDAP)。LDAP是一個(gè)提供目錄訪問且運(yùn)行在TCP/I

22、P協(xié)議上的工業(yè)標(biāo)準(zhǔn)協(xié)議??蛻舳丝梢允褂肔DAP來請(qǐng)求和管理目錄信息,符合他們準(zhǔn)許的訪問等級(jí)。其他通訊協(xié)議也一樣支持,包括REPL接口,被用來復(fù)制;消息應(yīng)用程序接口(MAPI),被用在老版本的消息客戶端;賬戶安全性管理(SAM)接口,允許Windows NT 4.0 的客戶端有限制的訪問活動(dòng)目錄??偟膩碚f,這些接口允許:與LADP通信,活動(dòng)目錄服務(wù)交互(ADSI),以認(rèn)證為目的的新的客戶端展望,訪問控制,目錄請(qǐng)求,和目錄管理。 復(fù)制其他目錄服務(wù)器以達(dá)到為域控制器分發(fā)目錄變化目的與舊(MAPI)的Outlook客戶端通信,主要用于查詢, 為實(shí)現(xiàn)認(rèn)證和訪問控制與Windows NT 4.0的客戶端通

23、信通過在活動(dòng)目錄中使用DNS,你可以建立目錄結(jié)構(gòu)并給出很詳盡的列舉環(huán)境。目錄對(duì)象被域邏輯上分組。這使得域內(nèi)活動(dòng)目錄中的一個(gè)基本結(jié)構(gòu)阻塞。兩個(gè)額外的阻塞是單元和OUs,這些我們先前介紹過?;顒?dòng)目錄有非常明確的規(guī)則當(dāng)它在域,站點(diǎn),和OUs中。網(wǎng)絡(luò)上的每一個(gè)工作站和服務(wù)器必須是域的一個(gè)成員同時(shí)位于一個(gè)單元中。一個(gè)工作站或者服務(wù)器只能屬于一個(gè)域和一個(gè)單元。組織單元,另一方面來說,被域明確定義,可以認(rèn)為是域中子集的包含者。例如,域中你可能有工程部,銷售,銷售員,和支持組織單元。和域一樣,組織單元能被領(lǐng)導(dǎo)層組織。例如,你的銷售組織單元可以有打印機(jī)銷售和計(jì)算機(jī)銷售組織單元。要點(diǎn):在Windows NT 中,

24、你經(jīng)常創(chuàng)建額外的域來產(chǎn)生清楚地隔離在用戶,計(jì)算機(jī),資源或者管理者代表權(quán)限之間,同時(shí)限制管理訪問。你可以使用活動(dòng)目錄組織單元達(dá)成相似的目的不需要建立額外的(和更復(fù)雜的)域結(jié)構(gòu)。另一個(gè)在NT中創(chuàng)建額外的域是為了減少網(wǎng)段之間的流量,這也是活動(dòng)目錄站點(diǎn)的描述。你可以使用單元來增加網(wǎng)段間更好的通信控制。應(yīng)用Active Directory結(jié)構(gòu)的繼承當(dāng)你使本地計(jì)算機(jī)包含我們已經(jīng)討論過的基本結(jié)構(gòu),一個(gè)典型的活動(dòng)目錄網(wǎng)絡(luò)有四個(gè)明確的等級(jí): 本地計(jì)算機(jī) 站點(diǎn) 域 組織單元當(dāng)組策略被設(shè)置在本地計(jì)算機(jī)等級(jí),每一個(gè)登錄到本地機(jī)器上的人受策略設(shè)置的影響(本地組策略)?;谟虻慕M策略被設(shè)置在真正的目錄結(jié)構(gòu)上,基于域的策略

25、設(shè)置被應(yīng)用在這些基本命令中:站點(diǎn),域,組織單元。這個(gè)結(jié)構(gòu)被認(rèn)為有四個(gè)等級(jí)。最高等級(jí)是本地組策略,第二個(gè)等級(jí)是單元,第三級(jí)是域,第四級(jí)是組織單元。組織單位可以相互嵌套,所以你可以根據(jù)需要?jiǎng)?chuàng)建額外的等級(jí)結(jié)構(gòu)。默認(rèn)地,當(dāng)策略被設(shè)置在一個(gè)等級(jí),設(shè)置應(yīng)用到那一級(jí)的所有對(duì)象和這一級(jí)以下的所有對(duì)象,通過繼承。策略設(shè)置繼承工作如下(除非繼承被阻塞): 如果策略設(shè)置被應(yīng)用在單元等級(jí),你影響域和組織單元確定的單元部分中所有的用戶和計(jì)算機(jī)。例如,如果主要的單元包含和域,所有被應(yīng)用到單元的設(shè)置將會(huì)影響兩個(gè)域中的對(duì)象。 如果一個(gè)策略設(shè)置被應(yīng)用在域等級(jí),它影響組織單元確定的為域部分中的所有用戶和計(jì)算機(jī)。例如,如果 包含E

26、ngineering和IT組織單元,所有被應(yīng)用到域中的設(shè)置將會(huì)影響Engineering和IT組織單元中的對(duì)象。 如果一個(gè)策略設(shè)置被應(yīng)用在組織單元等級(jí),它影響組織單元和低于他的組織單元(子組織單元)確定的所有用戶和計(jì)算機(jī)。例如,如果Engineering 組織單元包含WebTeam和 DevTeam子組織單元,所有應(yīng)用到Engineering 組織單元的設(shè)置將會(huì)影響ebTeam和 DevTeam組織單元。 Authors:Darren Mar-Elia, Derek Melber, William R. StanekThePublisher: Microsoft PressPublished:

27、 2005-05-25Chapter:Chapter 1,Page 3 To 12Overview of Group PolicyIn this chapter, we will introduce Group Policy. Youll learn what Group Policy does,how it can be used in both domain and workgroup settings, and what infrastructureis required to implement it. If youre running an Active Directorynetwo

28、rk environment, you need Group Policy. Period. Theres no doubt, no questionat all. Your only real question should be how to make the most of what Group Policyhas to offer, given your organizations structure and needs. Why? Because GroupPolicy is meant to make your life as an administrator easier. Mi

29、crosoft coined the termGroup Policy to describe the technology that allows you to group policy settingstogether and apply them in discrete sets. Group Policy is, in fact, a collection of policysettings that simplify administration of common and repetitive tasks as well as uniquetasks that are diffic

30、ult to implement manually but can be automated (such as deploying new software or enforcing which programs can be installed on computers).Related Information For information about DNS architecture, see Chapter 26 in Microsoft WindowsServer 2003 Inside Out (Microsoft Press, 2004). For information abo

31、ut Active Directory architecture, see Chapter 32 in MicrosoftWindows Server 2003 Inside Out. For information on deploying Group Policy, see Chapter 4 in this book.Understanding Group PolicyGroup Policy provides a convenient and effective way to manage computer and usersettings.What It DoesWith Group

32、 Policy, you can manage settings for thousands of users or computers inthe same way that you manage settings for one user or computerand without everleaving your desk. To do this, you use one of several management tools to change asetting to a desired value, and this change is applied throughout the

33、 network to adesired subset of users or computers or to any individual user or computer.One way to think of Group Policy is as a set of rules that you can apply to help youmanage users and computers. Despite common misperceptions, Group Policy doesthis in a way that is more intuitive than was previo

34、usly possible. Still a nonbeliever?Consider for a moment that before Group Policy, many of the administrative changesthat Group Policy enables were possible only by hacking the Windows registry, andeach change had to be made individually on each target computer. Time consuming,tricky to implement, p

35、rone to disastrous results? You betcha.Enter Group Policy, whereby you can simply enable or disable a policy to tweak aregistry value or other setting, and the change will apply automatically to every computer you designate the next time Group Policy is refreshed. Because changes can be modeled (thr

36、ough the Group Policy Management Console) before the modifications are applied, you can be certain of the effect of each desired change. Plus, if you dont like the results, you can undo a change by setting the policy back to its original or Not Configured state.To take this scenario a step further,

37、consider the case in which youve manuallytweaked multiple Microsoftand you start to have problems. Maybe users cant log on, they cant perform necessary actions, or computers arent responding normally. If you documented everychange on every computer, you might be able to undo the changesif you are lu

38、ckyand if you properly documented the original settings as well as the changes. In contrast,Group Policy allows you to back up (“save”) the state of Group Policy beforemaking changes. If something goes wrong, you can restore Group Policy to its original state. When you restore the state of Group Pol

39、icy, you can be certain that all changes are undone with the next Group Policy refresh.How It WorksSpeaking of Group Policy refresh, you are probably wondering what this termmeans. While the nitty-gritty details are covered in Chapter 2, the basics of grouppolicy application (initial processing) and

40、 refresh (subsequent processing) arestraightforward. In Active Directory, two distinct sets of policies are defined: Computer policies These apply to computers and are stored under ComputerConfiguration in Group Policy. User policies These apply to users and are stored under User Configuration inGro

41、up Policy.Initial processing of the related policies is triggered by two unique events: Processing of computer policies is triggered when a computer is started. Whena computer is started and the network connection is initialized, computer policysettings are applied and a history of the registry-base

42、d settings that were appliedis written to %AllUsersProfile%Ntuser.pol. Processing of user policies is triggered when a user logs on to a computer. Whena user logs on to a computer, user policy settings are applied and a history of theregistry-based settings that were applied is written to %UserProfi

43、le%Ntuser.pol.Once applied, Group Policy settings are automatically refreshed to keep settings current and to reflect any changes that might have been made. By default, Group Policy on domain controllers is refreshed every 5 minutes. For workstations and other types of servers, Group Policy is refre

44、shed every 90 to 120 minutes by default. In addition,Group Policy is refreshed every 16 hours regardless of whether or not any policy settings have changed in the intervening time.Note Officially, the default Group Policy refresh interval on workstations and member servers is every 90 minutes, but a

45、 delay of up to 30 minutes is added to avoid flooding domain controllers with multiple simultaneous refresh requests. This effectively makes the default refresh window from 90 to 120 minutes.Tip Other factors can affect Group Policy refresh, including how slow link detectionis defined (per the Group

46、 Policy Slow Link Detection Policy under Computer ConfigurationAdministrative TemplatesSystemGroup Policy) and policy processing settings for policies under Computer ConfigurationAdministrative TemplatesSystemGroup Policy. You can check the last refresh of Group Policy using the Group Policy Managem

47、ent Console (GPMC). (See the section titled “Determining Policy Settings and Last Refresh” in Chapter 3.)Using and Implementing Group PolicyGroup Policy is so important to a successful Active Directory implementation thatmost administrators think of it as a component of Active Directory. This is mos

48、tlytrueand it is okay to think of it this waybut you dont necessarily need ActiveDirectory to use Group Policy.Using Group Policy in Workgroups and DomainsYou can use Group Policy to manage workstations running Microsoft Windows 2000and Windows XP Professional as well as servers running Windows 2000

49、 and Windows Server 2003. While you cant use Group Policy to manage Windows NT® workstations or servers, Windows 95, Windows 98, Windows Millennium Edition(Me), or Windows XP Home Edition, you can use Group Policy in both enterprise (domain) and local (workgroup) environments.For enterprise env

50、ironments where Active Directory is deployed, the complete set ofpolicy settings is available. This policy set is referred to as domain-based Group Policy,Active Directorybased Group Policy, or simply Group Policy. In Active Directory, two important related elements are sites and organizational unit

51、s (OUs). A site represents the physical architecture of your network. It is a group of TCP/IP subnets that are implemented to control directory replication traffic and isolate logon authentication traffic between physical network locations. OUs are used to group objects in a domain. An OU is a logic

52、al administrative unit within a domain that can be used to represent the structure of an organization or its business functions.Working with Group Policy ObjectsGroup Policy is applied in discrete sets, referred to as Group Policy Objects (GPOs).GPOs contain settings that can be applied in a variety

53、 of ways to computers and users in a specific Active Directory domain, site, or OU. Because of the object-based hierarchy in Active Directory, the settings of top-level GPOs can also be inherited by lower-level GPOs.For example, a setting for the domain can be inherited by the EngineeringOU within t

54、hat domain, and the domain settings will be applied to users and computers in the Engineering OU. If you dont want policy settings to be inherited, you can block these settings to ensure that only the GPO settings for the low-level GPO are applied.For local environments, a subset of Group Policy cal

55、led Local Group Policy is available.As the name implies, Local Group Policy allows you to manage policy settings that affect everyone who logs on to a local machine. This means Local Group Policy applies to any user or administrator who logs on to a computer that is a member of a workgroup as well a

56、s any user or administrator who logs on locally to a computer that is a member of a domain. Because Local Group Policy is a subset of Group Policy, there are some things you cant do locally that you can do in a domain setting. Generally speaking, the areas of policy that you cant manage locally have

57、 to do with Active Directory features that you can manage through Group Policy, such as software installation.Like Active Directorybased Group Policy, however, Local Group Policy is managed through a GPO. This GPO is referred to as the Local Group Policy Object (LGPO).Beyond these fundamental differences between Local Group Policy and ActiveDirectorybased Group Policy, both types of policy are managed in much the sameway. In fact, you use the same tools to manage both. The key difference is in the GPOyou work with. On a local machine, you work exclusively with the LGPO. If yo

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論