tveirectory環(huán)境中使用組策略管理控制臺GPMC

1、關于組策略管理控制臺使用的逐步式指南該逐步式指南提供了在 Active Directory環(huán)境中使用組策略管理控制臺 (GPMC) 來支持組策略對象 (GPO) 的一般性指導。該指南并不提供 GPO 實施指導。本頁內容簡介逐步式指南Windows Server 2003 部署逐步式指南提供了很多常見操作系統(tǒng)配置的實際操作經驗。本指南首先介紹通過以下過程來建 立通用網絡結構：安裝 Windows Server 2003 ；配置 Active Directory?；安裝 Windows XP Professional 工作站并最后將此工作站添加到域中。后續(xù)逐步式指南假定您已建立了此通用網絡結構。如

2、果您不想遵循此通用網絡結構，則需要在 使用這些指南時進行適當?shù)男薷?。通用網絡結構要求完成以下指南。在配置通用網絡結構后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具備通用網絡結構要求外，可能還需要滿足額外的先決條件。任何額外的要求都將列在特定的逐步式指南中。Microsoft Virtual PC可以在物理實驗室環(huán)境中或通過虛擬化技術(如Microsoft Virtual PC 2004或 Microsoft Virtual Server 2005 )來實施 Windows Server 2003 部署逐步式指南。借助于虛擬機技術，客戶可以同時在一臺物理服務器上運行多個操作系統(tǒng)。Vi

3、rtual PC 2004 和 Virtual Server 2005就是為了在軟件測試和開發(fā)、舊版應用程序遷移以及服務器整合方案中提高工作效率而設計的。Windows Server 2003 部署逐步式指南假定所有配置都是在物理實驗室環(huán)境中完成的，但大多數(shù)配置不經修改就可以應用 于虛擬環(huán)境。將這些逐步式指南中提供的概念應用于虛擬環(huán)境超出了本文的討論范圍。重要說明 此處作為例子提到的公司、組織、產品、域名、電子郵件地址、徽標、個人、地點和事件純屬虛構，決不意指，也不應由 此臆測任何公司、組織、產品、域名、電子郵件地址、徽標、個人、地點或事件。此通用基礎結構是為在專用網絡上使用而設計的。此通用結

4、構中使用的虛擬公司名稱和域名系統(tǒng) (DNS) 名稱并未注冊以 便在 Internet 上使用。您不應在公共網絡或 Internet 上使用此名稱。此通用結構的 Active Directory服務結構用于說明“ Windows Server 2003更改和配置管理"如何與 Active Directory配合使用。不能將其作為任何組織進行Active Directory 配置的模型。概述Microsoft 組策略管理控制臺（GPMC）是一個用于組策略管理的新工具，它通過改進易管理性和提高效率幫助管理員更經濟有效地管理企業(yè)。它包含一個新的Microsoft管理控制臺（MMC）管理單元和

5、一組可編程接口。GPMC提供單一位置來管理組策略核心內容，從而簡化了組策略的管理。它可以根據(jù)用戶需要提供以下功能來滿足最高的組策略部署要求。?使組策略更易于使用的用戶界面（UI）。?組策略對象（GPO）備份/還原。? GPO 導入 / 導出和復制 / 粘貼以及 Windows Management Instrumentation （WMI）篩選器。?簡化了對組策略相關安全功能的管理。? GPO設置和策略的結果集（RSoP）數(shù)據(jù)的超文本標記語言 （HTML）報告。?將此工具中提供的策略相關任務編制成腳本（而不是將GPO設置編制成腳本）。過去，管理員需要使用幾個 Microsoft工具來管理組策略

6、，女口“Active Directory 用戶和計算機"、“Active Directory站點和服務”以及“策略的結果集”管理單元。GPMC將這些工具中提供的現(xiàn)有組策略功能以及一些新功能集成到一個統(tǒng)一的控制臺中。GPMC中內置了對多個域和林管理的支持，因此，管理員可以方便地管理整個企業(yè)中的組策略。管理員可以完全控制在 GPMC中列出哪些林和域，因而可以只顯示環(huán)境的相關部分。注意：該逐步式指南只提供使用GPMC來管理GPO的指導，并不提供有關其配置的指導。有關配置GPO的信息，請參見。先決條件安裝和配置 GPMC安裝 GPMCGPMC安裝是一個涉及運行 Windows Install

7、er (.MSI)程序包的簡單過程。要下載最新版本，請參見 Windows ServerSystem 組策略管理站點，網址為：。要安裝組策略管理控制臺，請按照以下步驟操作：1. 在服務器“ HQ-CON-DC41”上，瀏覽到包含“”的文件夾，雙擊“”程序包，然后單擊“下一步”。2. 單擊“我同意”，接受最終用戶許可協(xié)議 (EULA) ，然后單擊“下一步”。3. 單擊“完成”以完成 GPMC 安裝。在安裝完成后，更新 Active Directory 管理單元中站點、域和組織單位 (OU) 屬性頁上顯示的“組策略”選項卡以提供到GPMC的直接鏈接。由于所有組策略管理功能都是通過GPMC提供的，因

8、此，無法再使用先前在原始“組策略”選項卡上提供的功能。要打開 GPMC 管理單元，請按照以下步驟操作：1. 在服務器“ HQ-CON-DC41”上，單擊“開始”按鈕，單擊“運行”，鍵入: 然后單擊“確定”。注意： 此外，也可以使用以下兩種方法之一啟動GPMC。? 在“開始”菜單或“控制面板”中，單擊“管理工具”文件夾中的“組策略管理”快捷方式。?創(chuàng)建自定義的 MMC控制臺：單擊“開始”按鈕，單擊“運行”，鍵入“MM”，然后單擊“確定”。 指向“文件”， 單擊“添加 / 刪除管理單元”， 然后單擊“添加”。 單擊以突出顯示“組策略管理”， 單擊“添加”， 單擊“關閉”， 然后單擊“確定”。為多個

9、林配置 GPMC您可以方便地將多個林添加到GPMC控制臺樹中。默認情況下，只有在某個林與運行 GPMC的用戶林之間具有雙向信任關系時，才能將其添加到 GPMC中。您可以有選擇地允許 GPMC使用僅單向信任關系或根本不使用信任關系。通過突出顯示 樹根目錄中的“組策略管理”，從上下文菜單中選擇“操作”，然后單擊“添加林”，將另一個林添加到GPMC 中。由于示例環(huán)境只包含單個林，因此，執(zhí)行這些步驟超出了本逐步式指南的討論范圍。注意： 在添加不受信任的林時，將無法使用某些功能。例如，不能使用“組策略建?！?，并且無法打開“組策略對象編輯器”以編輯不受信任的林中的GPQ不受信任的林方案主要用于支持跨林復制

10、GPQ同時管理多個域GPMC支持同時管理多個域，并且每個域在控制臺中是按林進行分組的。默認情況下，GPMC中只顯示一個域。在首先使用預配置的管理單元或自定義MMC控制臺啟動GPMC后，GPMC將顯示包含用于啟動 GPMC的用戶帳戶的域。通過添加和刪除控制臺中顯示的域，您可以指定每個林中要使用GPMC 管理的域。注意： 即使您沒有整個林的林信任關系，您也可添加外部信任域。默認情況下，要添加的域和用戶對象域之間必須具有雙向信任關系。 也可以通過使用“查看”菜單中的“選項”對話框禁用GPMC 的信任檢測功能， 來添加具有單向信任關系的域。要添加外部信任域，您必須先使用“添加林”對話框，從包含外部信任

11、域的林中添加一個域。在添加該林后，您可通過右鍵單擊該林的“域”節(jié)點，然后單擊“顯示域”，在該受信任的林中添加任何域。1. 在“組策略管理”窗口中，單擊“林：”旁邊的加號（+）將樹展開，然后單擊“域”旁邊的加號（+）。2. 右鍵單擊“域”，然后單擊“顯示域”。3. 圖1.顯示域在GPMC的每個可用域中，可使用相同的域控制器來完成該域中的所有操作。這包括位于該域中的GPO OU安全主體以及WMI篩選器上的所有操作。另外，在從GPMC中打開"組策略對象編輯器”時，它始終將GPMC中的目標域控制器用于GPO所在的域。GPMC允許您為每個域選擇使用哪個域控制器。您可以選擇四個選項之一。?使用主

12、域控制器（PDC）模擬器（默認選項）。?使用任何可用的域控制器。?使用運行 Windows Server 2003家族操作系統(tǒng)的任何可用域控制器。如果您要還原包含組策略軟件安裝設置的已刪除GPO,該選項是非常有用的。?使用指定的特定域控制器。1.2.3.單擊“確定”繼續(xù)。圖2.更改域控制器管理組策略對象查看域GPO在每個域中，GPMC都提供了一個基于策略的 Active Directory 視圖以及與組策略關聯(lián)的組件，如 GPO WMI篩選器以 及GPO鏈接。GPMC中的視圖與“ Active Directory 用戶和計算機” MMC管理單元中的視圖類似，它們都顯示0U分層結構。然而，GPM

13、C與該管理單元不同之處在于，它不顯示 0U中的用戶、計算機和組，而顯示鏈接到每個容器的GPO以及鏈接到這些GPO本身的GPQGPMC中的每個域節(jié)點都顯示以下項目。?鏈接到該域的所有 GPOo所有頂級0U、嵌套0U樹狀視圖以及鏈接到每個 0U的GPQ 顯示域中所有GPO的“組策略對象”容器。顯示域中所有 WMI篩選器的“ WMI篩選器”容器要查看與特定容器關聯(lián)的GPO,請按照以下步驟操作：1. 在“域”樹下，單擊“”樹。此時將出現(xiàn)與該容器（域根目錄）關聯(lián)的GPO,如圖3所示。可將此概念應用于任何域容器。圖 3. 域根目錄中的 GPO要查看與特定域關聯(lián)的所有GPO,請按照以下步驟操作：1. 在“域

14、”樹下，單擊“”旁邊的加號 （ +），然后單擊“組策略對象”。搜索 GPO可以在林或域級別進行 GPO 搜索。通過使用單個或多個搜索參數(shù)，有助于在大量的GPO 中縮小搜索結果的范圍。要使用多個搜索參數(shù)在林中查找特定GPO,請按照以下步驟操作：1. 在控制臺樹中，右鍵單擊“林 : ”，然后單擊“搜索”。2. 在“搜索項”框中，選擇“ GPO名稱”，鍵入“ Password'作為“值”，然后單擊“添加”。3. 在“搜索項”框中，選擇“計算機配置”，選擇“ Security ”作為“值”，然后單擊“添加”。4. 單擊“搜索”。結果應該如圖 4 所示。圖 4. 基于條件的 GPO 搜索5. 在

15、返回搜索結果后，您可以執(zhí)行以下操作之一：? 要打開 GPO 進行編輯，請單擊“編輯”。? 要保存搜索結果，請單擊“保存結果”。在“保存 GPO 搜索結果”對話框中，指定保存結果的文件名稱，然后單擊“保存”。?要瀏覽到在搜索中找到的某個GPO,請在搜索結果列表中雙擊該GPOo? 要清除搜索結果，請單擊“清除”。?要關閉“搜索組策略對象”對話框，請單擊“關閉”。確定 GPO 的作用域只能通過正確地將 GPO應用于要管理的 Active Directory 容器來實現(xiàn)組策略值。確定哪些用戶和計算機接收GPO中的設置的過程稱為“確定 GPO的作用域”。確定 GPO作用域的過程基于三個因素。? GPO

16、鏈接到的站點、 域或 OU ?將 GPO 中的設置應用于用戶和計算機的主要機制是， 將 GPO 鏈接到 Active Directory中的站點、域或 0U。鏈接GPO的位置稱為"管理作用域”或 SOM （在前面的白皮書中也將其視為 SDOU o SOM共有 三種類型：站點、域和 OU?？蓪⒁粋€GPO鏈接到多個SOM,也可以將一個 SOM鏈接到多個 GPO要應用某個 GPO, 您必須將其鏈接到 SOMoGPO 上的安全篩選 默認情況下，位于鏈接了 GPO 的 SOM 及其子對象中的所有 Authenticated Users （已授權用戶）GPO中的設置。這稱為將應用GPO中的設置。

17、通過管理GPO中的權限，您可以進一步細化哪些用戶和計算機將接收“安全篩選”。對于要應用于特定用戶或計算機的GPO,該用戶或計算機必須擁有該GPO的“讀取”和“應用組策略”權限。默認情況下， GPO 權限允許“ Authenticated Users ”組擁有這兩個權限。這就是在將新 GPO 鏈接到 SOM（OU域或站點）時，所有已授權用戶接收該 GPO設置的方法。但是，可以更改這些權限，將GPO的作用域限定為它所鏈接到的 SOM 中的一組特定用戶、組和 / 或計算機。? GPO 上的 WMI 篩選器 通過使用 WMI 篩選器， 管理員可以基于目標計算機屬性 （通過 WMI 實現(xiàn)） 動態(tài)地確定

18、GPO 的作用域。 WMI 篩選器由一個或多個查詢組成，這些查詢針對目標計算機 WMI 儲存庫的求值結果為真或假。 WMI 篩選器是與目錄中GPO不同的對象。要將WMI篩選器應用于某個 GPO,請將篩選器鏈接到該 GPO,如GPO的“作用域”選 項卡上的“ WMI篩選”部分所示。每個GPO只能有一個 WMI篩選器，不過，可以將同一個 WMI篩選器鏈接到多個GPO在目標計算機上應用鏈接到WMI篩選器的GPO時，將在該目標計算機上對該篩選器進行求值。如果WMI篩選器計算結果為假，則不應用GPOo如果 WMI篩選器計算結果為真，則應用GPQ要確定在以前搜索中找到的“ Domain Password

19、Policy ” GPO的作用域，請按照以下步驟操作：1. 在“搜索組策略對象"搜索結果窗格中，雙擊“ Domain Password Policy "，然后單擊“關閉”。注意：在關閉“搜索組策略對象”對話框后，以前選擇的GPO在GPMC中具有焦點。此時將出現(xiàn)“ GPO作用域”頁，如圖5所示。圖 5. 確定 GPO 的作用域要檢查 GPO 將應用的策略，請按照以下步驟操作：1. 在“ Domain Password Policy "結果窗格中，單擊“設置"選項卡，然后單擊"全部顯示"。此時將顯示所有已定義策略設置的摘要（如圖 6所示）

20、，但不顯示未定義的設置。圖 6. 檢查 GPO 設置GPO策略繼承和鏈接順序特定容器的“組策略繼承”選項卡顯示從父容器繼承的所有GPO（鏈接到站點上的 GPO除外）。該選項卡中的“優(yōu)先”列顯示所有鏈接的總體優(yōu)先級（這些鏈接將應用于該容器中的對象），并考慮“鏈接順序”和每個鏈接的“強制”屬性以 及“阻止繼承”。要查看容器中的策略繼承，請按照以下步驟操作：1. 在“組策略管理”窗口的"”樹下面，展開“ Accounts” OU然后單擊“ Headquarters ” OU，如圖7所示。圖 7. 組策略繼承如果將多個GPO鏈接到相同的容器，并且這些GPO具有相同的設置，則必須有一個協(xié)調這些

21、設置的機制。這種行為是由鏈接順序控制的。鏈接順序編號越小，優(yōu)先級越高。特定容器鏈接的相關信息顯示在該容器的“鏈接的組策略對象”選項卡中。該窗格顯示是否強制進行鏈接，是否啟用鏈接，GPO狀態(tài)，是否應用 WMI篩選器，其修改時間以及存儲它的域容器。委派了“將 GPO鏈接到容器”權限的管理員或用戶可以使用以下方法更改鏈接順序：突出顯示GPO鏈接，然后使用向上和向下箭頭，在鏈接順序列表中向上或向下移動鏈接。要更改容器中的策略鏈接順序，請按照以下步驟操作：1. 在“ Headquarters "屏幕上，單擊"鏈接的組策略對象,2. 在“GPO列下面，單擊“ Linked Polici

22、es "，然后單擊"鏈接順序”列左側的向上箭頭。完成后，“Headquarters ” OU下面 GPO的鏈接順序應該如圖 8所示。圖8. GPO鏈接順序GPO備份、還原、復制以及導入備份GPOGPO備份操作將GPO中的數(shù)據(jù)復制到文件系統(tǒng)中。備份功能還具有 GPO導出功能?？墒褂肎PO備份將GPO還原到已備份狀態(tài)，或者將備份中的設置導入到另一個GPO中。GPO備份操作將GPO內部存儲的所有信息保存到文件系統(tǒng)中。其中包括以下內容：? GPO全局唯一標識符（GUID）和域GPO設置? GPO中的自由訪問控制列表（DACL）? WMI篩選器鏈接（如果有的話），但不包括篩選器本身?

23、到IP安全策略的鏈接（如果有的話）? GPO設置的可擴展標記語言（XML）報告（可將其視為 GPMC中的HTML）?備份的日期和時間戳?用戶提供的備份說明GPO備份操作只保存在 GPO中存儲的數(shù)據(jù)。在 GPO外面存儲的數(shù)據(jù)包括以下內容：?至U站點、域或OU的鏈接? WMI篩選器? IP安全策略在將備份還原到原始 GPO或導入新GPO時，該數(shù)據(jù)不可用。要備份“ Domain Password Policy ” GPO請按照以下步驟操作：1. 在“組策略管理”窗口的“”樹下面，單擊“組策略對象”文件夾。2. 在“組策略對象”文件夾中，右鍵單擊“ Domain Password Policy ” G

24、PO然后單擊“備份”。3. 在“備份組策略對象”對話框中，鍵入“ c:windows”作為“位置”，鍵入“ Domain Password Policy Backup ”作為“描述”，然后單擊“備份”。4. 在備份完成后，單擊“確定”繼續(xù)。管理備份 可以將多個相同或不同的 GPO 備份存儲在相同的文件系統(tǒng)位置中。每個備份都使用唯一的備份 ID 來標識?？梢允褂?GPMC中的“管理備份”對話框或通過可編程接口來管理特定文件系統(tǒng)位置中的備份集合?？赏ㄟ^右鍵單擊特定域中的 “域”節(jié)點或“組策略對象”節(jié)點來訪問“管理備份”對話框。 在從“組策略對象”節(jié)點中打開“管理備份”時， 就會自 動對視圖進行篩選

25、， 以便只顯示該域的 GPO 備份。 在從“域”節(jié)點中打開“管理備份”對話框時， 將會顯示所有備份 （無 論備份來自哪個域）。要管理可用的 GPO 備份，請按照以下步驟操作：1. 在“組策略管理”窗口的“”樹下面， 右鍵單擊“組策略對象”文件夾， 然后單擊“管理備份”。 此時將出現(xiàn)“管理 備份”窗口，如圖 9 所示。圖 9. 管理備份2. 在“管理備份"窗口中，單擊以突出顯示先前創(chuàng)建的“ Domain Password Policy Backup",然后單擊“查看設置"。3. 查看詳細的 GPO 信息，然后關閉“ Internet Explorer ”。從備份還原

26、GPO還原操作從備份數(shù)據(jù)中重新創(chuàng)建GPO?？梢栽谙铝袃煞N情況下使用還原操作：備份了 GPO但以后將其刪除；或GPO處于活動狀態(tài),并且您要回滾到先前的已知狀態(tài)。還原操作將替代以下GPO 組件。? GPO 設置? GPO 上的 DACL? WMI 篩選器鏈接（但不包括篩選器本身） 還原操作只能還原屬于 GPO 的對象,其中包括到站點、域或 OU 的鏈接、 WMI 篩選器以及 IPSec 策略。要還原“ Domain Password Policy ” GPO請按照以下步驟操作：1. 在“管理備份”窗口中,單擊“還原”。2. 在出現(xiàn)提示時,單擊“確定”還原選定的備份。3. 在 GPO 還原完成后,單

27、擊“確定”。4. 在“管理備份”對話框中,單擊“關閉”。復制 GPO您可以使用復制操作,將 Active Directory中現(xiàn)有 GPO 的設置直接傳送到新的 GPO 中。將為復制操作期間創(chuàng)建的新GPO指定一個新的 GUID，并且將其解除鏈接?？梢允褂脧椭撇僮?，將設置傳送到相同域、相同林的其他域或其他林的域 中的新GPO。因為復制操作將 Active Directory中的現(xiàn)有GPO作為源，所以源和目標域之間需要具有信任關系。復制操作適用于在生產環(huán)境之間移動組策略。 只要源和目標域之間具有信任關系， 就可以使用這些操作將測試域或林中經過測 試的組策略遷移到生產環(huán)境中。要復制GPO,請按照以下

28、步驟操作:1. 在""樹下面的"組策略對象”文件夾中，右鍵單擊“Enforced User Policies ” GPO然后單擊“復制”。2. +）將樹展開，然后單擊“組策略對象”旁邊的加號（+）將樹展開。3. 右鍵單擊“組策略對象”，然后單擊“粘貼”。4. 在“跨域復制向導”中，單擊“下一步”繼續(xù)。5. 在“指定權限”屏幕上，選擇“新GPO使用默認權限”（默認），如圖 10所示，然后單擊“下一步”。圖10.跨域復制向導6. 在掃描完原始 GPO后，單擊“下一步”繼續(xù)。7. 在“完成跨域復制向導”屏幕上，檢查設置，然后單擊“完成”。8. 在完成復制操作后，單擊“確定”。注意：1.導入GPO導入操作使用文件系統(tǒng)位置中的已備份GPO作為其源，將設置傳送到 Active Directory中的現(xiàn)有GPQ可以使用導入操作，將一個 GPO的設置傳送到相同域中的其他GPO相同林中其他域的GPO或不同林中域的 GPOo導入操作始終將已備份設置放在現(xiàn)有的 GPO中。它會清除目標GPO中預先存在的任何設置。導入并不要求源域和目標域之間具有信任關 系，因此，非常適用于在沒有信任關系的林和域之間傳送設置。將設置導入到GPO并不會影響其DACL;也不會影響站點、域或0U到該GPO的鏈接或者到 WMI篩選器的鏈