Active Directory 環(huán)境中使用組策略管理控制臺(tái) (GPMC)9468915501

1、關(guān)于組策略管理控制臺(tái)使用的逐步式指南該逐步式指南提供了在 Active Directory 環(huán)境中使用組策略管理控制臺(tái) (GPMC) 來(lái)支持組策略對(duì)象 (GPO) 的一般性指導(dǎo)。該指南并不提供 GPO 實(shí)施指導(dǎo)。本頁(yè)內(nèi)容 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#E1 l E1 簡(jiǎn)介 HYPERLINK /china/technet/prodtechnol/windowsserver2003/tech

2、nologies/directory/activedirectory/stepbystep/gpmcinad.mspx#E4B l E4B 概述 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#ECE l ECE 安裝和配置置 GPPMC HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/actived

3、irectory/stepbystep/gpmcinad.mspx#ENH l ENH 管理組策略略對(duì)象 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#E5EAC l E5EAC GPO 備備份、還還原、復(fù)復(fù)制以及及導(dǎo)入 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory

4、/stepbystep/gpmcinad.mspx#EWKAC l EWKAC GPO 建建模 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#E1LAC l E1LAC 其他資源簡(jiǎn)介逐步式指南南Windoows Serrverr 20003 部署逐逐步式指指南提供供了很多多常見操操作系統(tǒng)統(tǒng)配置的的實(shí)際操操作經(jīng)驗(yàn)驗(yàn)。本指指南首先先介紹通通過(guò)以下下過(guò)程來(lái)來(lái)建立通通用網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)：安裝 Winndowws SSe

5、rvver 20003；配配置 AActiive Dirrecttoryy；安裝裝 Wiindoows XP Proofesssioonall 工作作站并最最后將此此工作站站添加到到域中。后后續(xù)逐步步式指南南假定您您已建立立了此通通用網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)。如如果您不不想遵循循此通用用網(wǎng)絡(luò)結(jié)結(jié)構(gòu)，則則需要在在使用這這些指南南時(shí)進(jìn)行行適當(dāng)?shù)牡男薷摹Ｍㄓ镁W(wǎng)絡(luò)結(jié)結(jié)構(gòu)要求求完成以以下指南南。 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/domcntr

6、l.mspx 第一部分：將 WWinddowss Seerveer 220033 安裝裝為域控控制器 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/domxppro.mspx 第二部分：安裝 Winndowws XXP PProffesssionnal 工作站站并將其其連接到到域上在配置通用用網(wǎng)絡(luò)結(jié)結(jié)構(gòu)后，可可以使用用任何其其他的逐逐步式指指南。注注意，某某些逐步步式指南南除具備備通用網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)要求外外，可能能還需要要滿足額額外的

7、先先決條件件。任何何額外的的要求都都將列在在特定的的逐步式式指南中中。Microosofft VVirttuall PCC可以在物理理實(shí)驗(yàn)室室環(huán)境中中或通過(guò)過(guò)虛擬化化技術(shù)（如如 Miicroosofft VVirttuall PCC 20004 或 MMicrrosooft Virrtuaal SServver 20005）來(lái)來(lái)實(shí)施 Winndowws SServver 20003 部部署逐步步式指南南。借助助于虛擬擬機(jī)技術(shù)術(shù)，客戶戶可以同同時(shí)在一一臺(tái)物理理服務(wù)器器上運(yùn)行行多個(gè)操操作系統(tǒng)統(tǒng)。Viirtuual PC 20004 和和 Viirtuual Serrverr 20005 就是為為了

8、在軟軟件測(cè)試試和開發(fā)發(fā)、舊版版應(yīng)用程程序遷移移以及服服務(wù)器整整合方案案中提高高工作效效率而設(shè)設(shè)計(jì)的。Windoows Serrverr 20003 部署逐逐步式指指南假定定所有配配置都是是在物理理實(shí)驗(yàn)室室環(huán)境中中完成的的，但大大多數(shù)配配置不經(jīng)經(jīng)修改就就可以應(yīng)應(yīng)用于虛虛擬環(huán)境境。將這些逐步步式指南南中提供供的概念念應(yīng)用于于虛擬環(huán)環(huán)境超出出了本文文的討論論范圍。重要說(shuō)明此處作為例例子提到到的公司司、組織織、產(chǎn)品品、域名名、電子子郵件地地址、徽徽標(biāo)、個(gè)個(gè)人、地地點(diǎn)和事事件純屬屬虛構(gòu)，決決不意指指，也不不應(yīng)由此此臆測(cè)任任何公司司、組織織、產(chǎn)品品、域名名、電子子郵件地地址、徽徽標(biāo)、個(gè)個(gè)人、地地點(diǎn)或事事件

9、。此通用基礎(chǔ)礎(chǔ)結(jié)構(gòu)是是為在專專用網(wǎng)絡(luò)絡(luò)上使用用而設(shè)計(jì)計(jì)的。此此通用結(jié)結(jié)構(gòu)中使使用的虛虛擬公司司名稱和和域名系系統(tǒng) (DNSS) 名名稱并未未注冊(cè)以以便在 Intternnet 上使用用。您不不應(yīng)在公公共網(wǎng)絡(luò)絡(luò)或 IInteerneet 上上使用此此名稱。此通用結(jié)構(gòu)構(gòu)的 AActiive Dirrecttoryy 服務(wù)務(wù)結(jié)構(gòu)用用于說(shuō)明明“Wiindoows Serrverr 20003 更改和和配置管管理”如如何與 Acttivee Diirecctorry 配配合使用用。不能能將其作作為任何何組織進(jìn)進(jìn)行 AActiive Dirrecttoryy 配置置的模型型。 HYPERLINK /chi

10、na/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#top l top 返回頁(yè)首概述Microosofft 組組策略管管理控制制臺(tái) (GPMMC) 是一個(gè)個(gè)用于組組策略管管理的新新工具，它它通過(guò)改改進(jìn)易管管理性和和提高效效率幫助助管理員員更經(jīng)濟(jì)濟(jì)有效地地管理企企業(yè)。它它包含一一個(gè)新的的 Miicroosofft 管管理控制制臺(tái) (MMCC) 管管理單元元和一組組可編程程接口。GPMC 提供單單一位置置來(lái)管理理組策略略核心內(nèi)內(nèi)容，從從而簡(jiǎn)化

11、化了組策策略的管管理。它它可以根根據(jù)用戶戶需要提提供以下下功能來(lái)來(lái)滿足最最高的組組策略部部署要求求。使組策略更更易于使使用的用用戶界面面 (UUI)。組策略對(duì)象象 (GGPO) 備份份/還原原。GPO 導(dǎo)導(dǎo)入/導(dǎo)導(dǎo)出和復(fù)復(fù)制/粘粘貼以及及 Wiindoows Mannageemennt IInsttrummenttatiion (WMMI) 篩選器器。簡(jiǎn)化了對(duì)組組策略相相關(guān)安全全功能的的管理。GPO 設(shè)設(shè)置和策策略的結(jié)結(jié)果集 (RSSoP) 數(shù)據(jù)據(jù)的超文文本標(biāo)記記語(yǔ)言 (HTTML) 報(bào)告告。將此工具中中提供的的策略相相關(guān)任務(wù)務(wù)編制成成腳本（而而不是將將 GPPO 設(shè)設(shè)置編制制成腳本本）。過(guò)去

12、，管理理員需要要使用幾幾個(gè) MMicrrosooft 工具來(lái)來(lái)管理組組策略，如如“Acctivve DDireectoory 用戶和和計(jì)算機(jī)機(jī)”、“AActiive Dirrecttoryy 站點(diǎn)點(diǎn)和服務(wù)務(wù)”以及及“策略略的結(jié)果果集”管管理單元元。GPPMC 將這些些工具中中提供的的現(xiàn)有組組策略功功能以及及一些新新功能集集成到一一個(gè)統(tǒng)一一的控制制臺(tái)中。GPMC 中內(nèi)置置了對(duì)多多個(gè)域和和林管理理的支持持，因此此，管理理員可以以方便地地管理整整個(gè)企業(yè)業(yè)中的組組策略。管管理員可可以完全全控制在在 GPPMC 中列出出哪些林林和域，因因而可以以只顯示示環(huán)境的的相關(guān)部部分。注意：該逐逐步式指指南只提提供

13、使用用 GPPMC 來(lái)管理理 GPPO 的的指導(dǎo)，并并不提供供有關(guān)其其配置的的指導(dǎo)。有有關(guān)配置置 GPPO 的的信息，請(qǐng)請(qǐng)參見 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx 了了解組策策略功能能集的逐逐步式指指南。先決條件 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/

14、stepbystep/domcntrl.mspx 第一部分：將 WWinddowss Seerveer 220033 安裝裝為域控控制器 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/addomcon.mspx 安裝其他域域控制器器的逐步步式指南南 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory

15、/stepbystep/admng.mspx Activve DDireectoory 管理逐逐步式指指南 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/ctrlwiz.mspx 關(guān)于控制委委派向?qū)?dǎo)使用方方法的逐逐步式指指南 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep

16、/gpfeat.mspx 了解組策略略功能集集的逐步步式指南南 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx 強(qiáng)制實(shí)施強(qiáng)強(qiáng)密碼策策略的逐逐步式指指南 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#top l top 返

17、回頁(yè)首安裝和配置置 GPPMC安裝 GPPMCGPMC 安裝是是一個(gè)涉涉及運(yùn)行行 Wiindoows Insstalllerr (.MSII) 程程序包的的簡(jiǎn)單過(guò)過(guò)程。要要下載最最新版本本，請(qǐng)參參見 WWinddowss Seerveer SSysttem 組策略略管理站站點(diǎn)，網(wǎng)網(wǎng)址為： HYPERLINK /windowsserver2003/gpmc/default.mspx htttp:/m/wiindoowssservver220033/gppmc/deffaullt.mmspxx。要安裝組策策略管理理控制臺(tái)臺(tái)，請(qǐng)按按照以下下步驟操操作：1.在服務(wù)器“HHQ-CCON-DC-01”上上

18、，瀏覽覽到包含含“gppmc.msii”的文文件夾，雙雙擊“ggpmcc.mssi”程程序包，然然后單擊擊“下一一步”。2.單擊“我同同意”，接接受最終終用戶許許可協(xié)議議 (EEULAA)，然然后單擊擊“下一一步”。3.單擊“完成成”以完完成 GGPMCC 安裝裝。在安裝完成成后，更更新 AActiive Dirrecttoryy 管理理單元中中站點(diǎn)、域域和組織織單位 (OUU) 屬屬性頁(yè)上上顯示的的“組策策略”選選項(xiàng)卡以以提供到到 GPPMC 的直接接鏈接。由由于所有有組策略略管理功功能都是是通過(guò) GPMMC 提提供的，因因此，無(wú)無(wú)法再使使用先前前在原始始“組策策略”選選項(xiàng)卡上上提供的的功能

19、。要打開 GGPMCC 管理理單元，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在服務(wù)器“HHQ-CCON-DC-01”上上，單擊擊“開始始”按鈕鈕，單擊擊“運(yùn)行行”，鍵鍵入“GGPMCC.mssc”，然然后單擊擊“確定定”。注意：此外外，也可可以使用用以下兩兩種方法法之一啟啟動(dòng) GGPMCC。在“開始”菜單或“控制面板”中，單擊“管理工具”文件夾中的“組策略管理”快捷方式。創(chuàng)建自定義的 MMC 控制臺(tái)：?jiǎn)螕簟伴_始”按鈕，單擊“運(yùn)行”，鍵入“MMC”，然后單擊“確定”。指向“文件”，單擊“添加/刪除管理單元”，然后單擊“添加”。單擊以突出顯示“組策略管理”，單擊“添加”，單擊“關(guān)閉”，然后單擊“確定”。為多

20、個(gè)林配配置 GGPMCC您可以方便便地將多多個(gè)林添添加到 GPMMC 控控制臺(tái)樹樹中。默默認(rèn)情況況下，只只有在某某個(gè)林與與運(yùn)行 GPMMC 的的用戶林林之間具具有雙向向信任關(guān)關(guān)系時(shí)，才才能將其其添加到到 GPPMC 中。您您可以有有選擇地地允許 GPMMC 使使用僅單單向信任任關(guān)系或或根本不不使用信信任關(guān)系系。通過(guò)過(guò)突出顯顯示樹根根目錄中中的“組組策略管管理”，從從上下文文菜單中中選擇“操操作”，然然后單擊擊“添加加林”，將將另一個(gè)個(gè)林添加加到 GGPMCC 中。由由于示例例環(huán)境只只包含單單個(gè)林，因因此，執(zhí)執(zhí)行這些些步驟超超出了本本逐步式式指南的的討論范范圍。注意：在添添加不受受信任的的林時(shí)，

21、將將無(wú)法使使用某些些功能。例例如，不不能使用用“組策策略建模?！?，并并且無(wú)法法打開“組組策略對(duì)對(duì)象編輯輯器”以以編輯不不受信任任的林中中的 GGPO。不不受信任任的林方方案主要要用于支支持跨林林復(fù)制 GPOO。同時(shí)管理多多個(gè)域GPMC 支持同同時(shí)管理理多個(gè)域域，并且且每個(gè)域域在控制制臺(tái)中是是按林進(jìn)進(jìn)行分組組的。默默認(rèn)情況況下，GGPMCC 中只只顯示一一個(gè)域。在在首先使使用預(yù)配配置的管管理單元元 (ggpmcc.mssc) 或自定定義 MMMC 控制臺(tái)臺(tái)啟動(dòng) GPMMC 后后，GPPMC 將顯示示包含用用于啟動(dòng)動(dòng) GPPMC 的用戶戶帳戶的的域。通通過(guò)添加加和刪除除控制臺(tái)臺(tái)中顯示示的域，您您可

22、以指指定每個(gè)個(gè)林中要要使用 GPMMC 管管理的域域。注意：即使使您沒有有整個(gè)林林的林信信任關(guān)系系，您也也可添加加外部信信任域。默默認(rèn)情況況下，要要添加的的域和用用戶對(duì)象象域之間間必須具具有雙向向信任關(guān)關(guān)系。也也可以通通過(guò)使用用“查看看”菜單單中的“選選項(xiàng)”對(duì)對(duì)話框禁禁用 GGPMCC 的信信任檢測(cè)測(cè)功能，來(lái)來(lái)添加具具有單向向信任關(guān)關(guān)系的域域。要添添加外部部信任域域，您必必須先使使用“添添加林”對(duì)對(duì)話框，從從包含外外部信任任域的林林中添加加一個(gè)域域。在添添加該林林后，您您可通過(guò)過(guò)右鍵單單擊該林林的“域域”節(jié)點(diǎn)點(diǎn)，然后后單擊“顯顯示域”，在在該受信信任的林林中添加加任何域域。要將 vaancoo

23、uveer.cconttosoo.coom 子子域添加加到控制制臺(tái)中，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在“組策略略管理”窗窗口中，單單擊“林林:m”旁邊邊的加號(hào)號(hào) (+) 將將樹展開開，然后后單擊“域域”旁邊邊的加號(hào)號(hào) (+)。2.右鍵單擊“域域”，然然后單擊擊“顯示示域”。3.選擇“vaancoouveer.cconttosoo.coom”旁旁邊的復(fù)復(fù)選框（如如圖 11 所示示），然然后單擊擊“確定定”。圖 1. 顯示域域在 GPMMC 的的每個(gè)可可用域中中，可使使用相同同的域控控制器來(lái)來(lái)完成該該域中的的所有操操作。這這包括位位于該域域中的 GPOO、OUU、安全全主體以以及 WWMI 篩選器

24、器上的所所有操作作。另外外，在從從 GPPMC 中打開開“組策策略對(duì)象象編輯器器”時(shí)，它它始終將將 GPPMC 中的目目標(biāo)域控控制器用用于 GGPO 所在的的域。GPMC 允許您您為每個(gè)個(gè)域選擇擇使用哪哪個(gè)域控控制器。您您可以選選擇四個(gè)個(gè)選項(xiàng)之之一。使用主域控控制器 (PDDC) 模擬器器（默認(rèn)認(rèn)選項(xiàng)）。使用任何可可用的域域控制器器。使用運(yùn)行 Winndowws SServver 20003 家家族操作作系統(tǒng)的的任何可可用域控控制器。如如果您要要還原包包含組策策略軟件件安裝設(shè)設(shè)置的已已刪除 GPOO，該選選項(xiàng)是非非常有用用的。使用指定的的特定域域控制器器。要更改 GGPMCC 用于于 vaan

25、coouveer.cconttosoo.coom 域域的域控控制器，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在“組策略略管理”窗窗口的“域域”文件件夾下面面，右鍵鍵單擊“vvanccouvver.conntosso.ccom”，然然后單擊擊“更改改域控制制器”。2.在“更改域域控制器器”對(duì)話話框中，單單擊“此此域控制制器”，然然后單擊擊以突出出顯示“m”（如如圖 22 所示示）。3.單擊“確定定”繼續(xù)續(xù)。圖 2. 更改域域控制器器 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedir

26、ectory/stepbystep/gpmcinad.mspx#top l top 返回頁(yè)首管理組策略略對(duì)象查看域 GGPO在每個(gè)域中中，GPPMC 都提供供了一個(gè)個(gè)基于策策略的 Acttivee Diirecctorry 視視圖以及及與組策策略關(guān)聯(lián)聯(lián)的組件件，如 GPOO、WMMI 篩篩選器以以及 GGPO 鏈接。GGPMCC 中的的視圖與與“Acctivve DDireectoory 用戶和和計(jì)算機(jī)機(jī)”MMMC 管管理單元元中的視視圖類似似，它們們都顯示示 OUU 分層層結(jié)構(gòu)。然然而，GGPMCC 與該該管理單單元不同同之處在在于，它它不顯示示 OUU 中的的用戶、計(jì)計(jì)算機(jī)和和組，而而顯示

27、鏈鏈接到每每個(gè)容器器的 GGPO 以及鏈鏈接到這這些 GGPO 本身的的 GPPO。GPMC 中的每每個(gè)域節(jié)節(jié)點(diǎn)都顯顯示以下下項(xiàng)目。鏈接到該域域的所有有 GPPO。所有頂級(jí) OU、嵌嵌套 OOU 樹樹狀視圖圖以及鏈鏈接到每每個(gè) OOU 的的 GPPO。顯示域中所所有 GGPO 的“組組策略對(duì)對(duì)象”容容器。顯示域中所所有 WWMI 篩選器器的“WWMI 篩選器器”容器器。要查看與特特定容器器關(guān)聯(lián)的的 GPPO，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在“域”樹樹下，單單擊“cconttosoo.coom”樹樹。此時(shí)時(shí)將出現(xiàn)現(xiàn)與該容容器（域域根目錄錄）關(guān)聯(lián)聯(lián)的 GGPO，如如圖 33 所示示?？蓪⒋烁拍钅?/p>

28、應(yīng)用于于任何域域容器。圖 3. 域根目目錄中的的 GPPO HYPERLINK /china/technet/images/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/images/gpmcin03_big.gif 查看看大圖要查看與特特定域關(guān)關(guān)聯(lián)的所所有 GGPO，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在“域”樹樹下，單單擊“cconttosoo.coom”旁旁邊的加加號(hào) (+)，然然后單擊擊“組策策略對(duì)象象”。搜索 GPPO可以在林或或域級(jí)別別進(jìn)行 GPOO 搜索索。通過(guò)過(guò)使用單單個(gè)

29、或多多個(gè)搜索索參數(shù)，有有助于在在大量的的 GPPO 中中縮小搜搜索結(jié)果果的范圍圍。要使用多個(gè)個(gè)搜索參參數(shù)在 conntosso.ccom 林中查查找特定定 GPPO，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在控制臺(tái)樹樹中，右右鍵單擊擊“林:conntosso.ccom”，然然后單擊擊“搜索索”。2.在“搜索項(xiàng)項(xiàng)”框中中，選擇擇“GPPO 名名稱”，鍵鍵入“PPasssworrd”作作為“值值”，然然后單擊擊“添加加”。3.在“搜索項(xiàng)項(xiàng)”框中中，選擇擇“計(jì)算算機(jī)配置置”，選選擇“SSecuuritty”作作為“值值”，然然后單擊擊“添加加”。4.單擊“搜索索”。結(jié)結(jié)果應(yīng)該該如圖 4 所所示。圖 4. 基于

30、條條件的 GPOO 搜索索5.在返回搜索索結(jié)果后后，您可可以執(zhí)行行以下操操作之一一：要打開 GPO 進(jìn)行編輯，請(qǐng)單擊“編輯”。要保存搜索結(jié)果，請(qǐng)單擊“保存結(jié)果”。在“保存 GPO 搜索結(jié)果”對(duì)話框中，指定保存結(jié)果的文件名稱，然后單擊“保存”。要瀏覽到在搜索中找到的某個(gè) GPO，請(qǐng)?jiān)谒阉鹘Y(jié)果列表中雙擊該 GPO。要清除搜索結(jié)果，請(qǐng)單擊“清除”。要關(guān)閉“搜索組策略對(duì)象”對(duì)話框，請(qǐng)單擊“關(guān)閉”。確定 GPPO 的的作用域域只能通過(guò)正正確地將將 GPPO 應(yīng)應(yīng)用于要要管理的的 Acctivve DDireectoory 容器來(lái)來(lái)實(shí)現(xiàn)組組策略值值。確定定哪些用用戶和計(jì)計(jì)算機(jī)接接收 GGPO 中的設(shè)設(shè)置的

31、過(guò)過(guò)程稱為為“確定定 GPPO 的的作用域域”。確確定 GGPO 作用域域的過(guò)程程基于三三個(gè)因素素。GPO 鏈鏈接到的的站點(diǎn)、域域或 OOU 將 GGPO 中的設(shè)設(shè)置應(yīng)用用于用戶戶和計(jì)算算機(jī)的主主要機(jī)制制是，將將 GPPO 鏈鏈接到 Acttivee Diirecctorry 中中的站點(diǎn)點(diǎn)、域或或 OUU。鏈接接 GPPO 的的位置稱稱為“管管理作用用域”或或 SOOM（在在前面的的白皮書書中也將將其視為為 SDDOU）。SSOM 共有三三種類型型：站點(diǎn)點(diǎn)、域和和 OUU。可將將一個(gè) GPOO 鏈接接到多個(gè)個(gè) SOOM，也也可以將將一個(gè) SOMM 鏈接接到多個(gè)個(gè) GPPO。要要應(yīng)用某某個(gè) GG

32、PO，您您必須將將其鏈接接到 SSOM。GPO 上上的安全全篩選默默認(rèn)情況況下，位位于鏈接接了 GGPO 的 SSOM 及其子子對(duì)象中中的所有有 Auutheentiicatted Useers（已已授權(quán)用用戶）將將應(yīng)用 GPOO 中的的設(shè)置。通通過(guò)管理理 GPPO 中中的權(quán)限限，您可可以進(jìn)一一步細(xì)化化哪些用用戶和計(jì)計(jì)算機(jī)將將接收 GPOO 中的的設(shè)置。這這稱為“安安全篩選選”。對(duì)對(duì)于要應(yīng)應(yīng)用于特特定用戶戶或計(jì)算算機(jī)的 GPOO，該用用戶或計(jì)計(jì)算機(jī)必必須擁有有該 GGPO 的“讀讀取”和和“應(yīng)用用組策略略”權(quán)限限。默認(rèn)認(rèn)情況下下，GPPO 權(quán)權(quán)限允許許“Auutheentiicatted Us

33、eers”組組擁有這這兩個(gè)權(quán)權(quán)限。這這就是在在將新 GPOO 鏈接接到 SSOM（OOU、域域或站點(diǎn)點(diǎn)）時(shí)，所所有已授授權(quán)用戶戶接收該該 GPPO 設(shè)設(shè)置的方方法。但但是，可可以更改改這些權(quán)權(quán)限，將將 GPPO 的的作用域域限定為為它所鏈鏈接到的的 SOOM 中中的一組組特定用用戶、組組和/或或計(jì)算機(jī)機(jī)。GPO 上上的 WWMI 篩選器器 通過(guò)過(guò)使用 WMII 篩選選器，管管理員可可以基于于目標(biāo)計(jì)計(jì)算機(jī)屬屬性（通通過(guò) WWMI 實(shí)現(xiàn)）動(dòng)動(dòng)態(tài)地確確定 GGPO 的作用用域。WWMI 篩選器器由一個(gè)個(gè)或多個(gè)個(gè)查詢組組成，這這些查詢?cè)冡槍?duì)目目標(biāo)計(jì)算算機(jī) WWMI 儲(chǔ)存庫(kù)庫(kù)的求值值結(jié)果為為真或假假。W

34、MMI 篩篩選器是是與目錄錄中 GGPO 不同的的對(duì)象。要要將 WWMI 篩選器器應(yīng)用于于某個(gè) GPOO，請(qǐng)將將篩選器器鏈接到到該 GGPO，如如 GPPO 的的“作用用域”選選項(xiàng)卡上上的“WWMI 篩選”部部分所示示。每個(gè)個(gè) GPPO 只只能有一一個(gè) WWMI 篩選器器，不過(guò)過(guò)，可以以將同一一個(gè) WWMI 篩選器器鏈接到到多個(gè) GPOO。在目目標(biāo)計(jì)算算機(jī)上應(yīng)應(yīng)用鏈接接到 WWMI 篩選器器的 GGPO 時(shí)，將將在該目目標(biāo)計(jì)算算機(jī)上對(duì)對(duì)該篩選選器進(jìn)行行求值。如如果 WWMI 篩選器器計(jì)算結(jié)結(jié)果為假假，則不不應(yīng)用 GPOO。如果果 WMMI 篩篩選器計(jì)計(jì)算結(jié)果果為真，則則應(yīng)用 GPOO。要確定在

35、以以前搜索索中找到到的“DDomaain Passswoord Pollicyy”GPPO 的的作用域域，請(qǐng)按按照以下下步驟操操作：1.在“搜索組組策略對(duì)對(duì)象”搜搜索結(jié)果果窗格中中，雙擊擊“Doomaiin PPasssworrd PPoliicy”，然然后單擊擊“關(guān)閉閉”。注意：在關(guān)關(guān)閉“搜搜索組策策略對(duì)象象”對(duì)話話框后，以以前選擇擇的 GGPO 在 GGPMCC 中具具有焦點(diǎn)點(diǎn)。此時(shí)時(shí)將出現(xiàn)現(xiàn)“GPPO 作作用域”頁(yè)頁(yè)，如圖圖 5 所示。圖 5. 確定 GPOO 的作作用域要檢查 GGPO 將應(yīng)用用的策略略，請(qǐng)按按照以下下步驟操操作：1.在“Dommainn Paasswwordd Poo

36、liccy”結(jié)結(jié)果窗格格中，單單擊“設(shè)設(shè)置”選選項(xiàng)卡，然然后單擊擊“全部部顯示”。此此時(shí)將顯顯示所有有已定義義策略設(shè)設(shè)置的摘摘要（如如圖 66 所示示），但但不顯示示未定義義的設(shè)置置。圖 6. 檢查 GPOO 設(shè)置置GPO 策策略繼承承和鏈接接順序特定容器的的“組策策略繼承承”選項(xiàng)項(xiàng)卡顯示示從父容容器繼承承的所有有 GPPO（鏈鏈接到站站點(diǎn)上的的 GPPO 除除外）。該該選項(xiàng)卡卡中的“優(yōu)優(yōu)先”列列顯示所所有鏈接接的總體體優(yōu)先級(jí)級(jí)（這些些鏈接將將應(yīng)用于于該容器器中的對(duì)對(duì)象），并并考慮“鏈鏈接順序序”和每每個(gè)鏈接接的“強(qiáng)強(qiáng)制”屬屬性以及及“阻止止繼承”。要查看容器器中的策策略繼承承，請(qǐng)按按照以下下

37、步驟操操作：1.在“組策略略管理”窗窗口的“cconttosoo.coom”樹樹下面，展展開“AAccoountts”O(jiān)OU，然然后單擊擊“Heeadqquarrterrs”O(jiān)OU，如如圖 77 所示示。圖 7. 組策略略繼承 HYPERLINK /china/technet/images/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/images/gpmcin07_big.gif 查查看大圖圖如果將多個(gè)個(gè) GPPO 鏈鏈接到相相同的容容器，并并且這些些 GPPO 具具有相同同的設(shè)

38、置置，則必必須有一一個(gè)協(xié)調(diào)調(diào)這些設(shè)設(shè)置的機(jī)機(jī)制。這這種行為為是由鏈鏈接順序序控制的的。鏈接接順序編編號(hào)越小小，優(yōu)先先級(jí)越高高。特定定容器鏈鏈接的相相關(guān)信息息顯示在在該容器器的“鏈鏈接的組組策略對(duì)對(duì)象”選選項(xiàng)卡中中。該窗窗格顯示示是否強(qiáng)強(qiáng)制進(jìn)行行鏈接，是是否啟用用鏈接，GGPO 狀態(tài)，是是否應(yīng)用用 WMMI 篩篩選器，其其修改時(shí)時(shí)間以及及存儲(chǔ)它它的域容容器。委委派了“將將 GPPO 鏈鏈接到容容器”權(quán)權(quán)限的管管理員或或用戶可可以使用用以下方方法更改改鏈接順順序：突突出顯示示 GPPO 鏈鏈接，然然后使用用向上和和向下箭箭頭，在在鏈接順順序列表表中向上上或向下下移動(dòng)鏈鏈接。要更改容器器中的策策略鏈

39、接接順序，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在“Heaadquuartterss”屏幕幕上，單單擊“鏈鏈接的組組策略對(duì)對(duì)象”。2.在“GPOO”列下下面，單單擊“LLinkked Polliciies”，然然后單擊擊“鏈接接順序”列列左側(cè)的的向上箭箭頭。完完成后，“HHeaddquaarteers”O(jiān)OU 下下面 GGPO 的鏈接接順序應(yīng)應(yīng)該如圖圖 8 所示。圖 8. GPOO 鏈接接順序 HYPERLINK /china/technet/images/prodtechnol/windowsserver2003/technologies/directory/activedirectory/step

40、bystep/images/gpmcin08_big.gif 查查看大圖圖 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#top l top 返回頁(yè)首GPO 備備份、還還原、復(fù)復(fù)制以及及導(dǎo)入備份 GPPOGPO 備備份操作作將 GGPO 中的數(shù)數(shù)據(jù)復(fù)制制到文件件系統(tǒng)中中。備份份功能還還具有 GPOO 導(dǎo)出出功能?？煽墒褂?GPOO 備份份將 GGPO 還原到到已備份份狀態(tài)，或或者將備備份中的的設(shè)置導(dǎo)導(dǎo)入到

41、另另一個(gè) GPOO 中。GPO 備備份操作作將 GGPO 內(nèi)部存存儲(chǔ)的所所有信息息保存到到文件系系統(tǒng)中。其其中包括括以下內(nèi)內(nèi)容：GPO 全全局唯一一標(biāo)識(shí)符符 (GGUIDD) 和和域 GGPO 設(shè)置GPO 中中的自由由訪問(wèn)控控制列表表 (DDACLL)WMI 篩篩選器鏈鏈接（如如果有的的話），但但不包括括篩選器器本身到 IP 安全策策略的鏈鏈接（如如果有的的話）GPO 設(shè)設(shè)置的可可擴(kuò)展標(biāo)標(biāo)記語(yǔ)言言 (XXML) 報(bào)告告（可將將其視為為 GPPMC 中的 HTMML）備份的日期期和時(shí)間間戳用戶提供的的備份說(shuō)說(shuō)明GPO 備備份操作作只保存存在 GGPO 中存儲(chǔ)儲(chǔ)的數(shù)據(jù)據(jù)。在 GPOO 外面面存儲(chǔ)的

42、的數(shù)據(jù)包包括以下下內(nèi)容：到站點(diǎn)、域域或 OOU 的的鏈接WMI 篩篩選器IP 安全全策略在將備份還還原到原原始 GGPO 或?qū)肴胄?GGPO 時(shí)，該該數(shù)據(jù)不不可用。要備份“DDomaain Passswoord Pollicyy”GPPO，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在“組策略略管理”窗窗口的“cconttosoo.coom”樹樹下面，單單擊“組組策略對(duì)對(duì)象”文文件夾。2.在“組策略略對(duì)象”文文件夾中中，右鍵鍵單擊“DDomaain Passswoord Pollicyy”GPPO，然然后單擊擊“備份份”。3.在“備份組組策略對(duì)對(duì)象”對(duì)對(duì)話框中中，鍵入入“c:wiindoows”作作為“位

43、位置”，鍵鍵入“DDomaain Passswoord Pollicyy Baackuup”作作為“描描述”，然然后單擊擊“備份份”。4.在備份完成成后，單單擊“確確定”繼繼續(xù)。管理備份可以將多個(gè)個(gè)相同或或不同的的 GPPO 備備份存儲(chǔ)儲(chǔ)在相同同的文件件系統(tǒng)位位置中。每每個(gè)備份份都使用用唯一的的備份 ID 來(lái)標(biāo)識(shí)識(shí)。可以以使用 GPMMC 中中的“管管理備份份”對(duì)話話框或通通過(guò)可編編程接口口來(lái)管理理特定文文件系統(tǒng)統(tǒng)位置中中的備份份集合。可可通過(guò)右右鍵單擊擊特定域域中的“域域”節(jié)點(diǎn)點(diǎn)或“組組策略對(duì)對(duì)象”節(jié)節(jié)點(diǎn)來(lái)訪訪問(wèn)“管管理備份份”對(duì)話話框。在在從“組組策略對(duì)對(duì)象”節(jié)節(jié)點(diǎn)中打打開“管管理備份份”

44、時(shí)，就就會(huì)自動(dòng)動(dòng)對(duì)視圖圖進(jìn)行篩篩選，以以便只顯顯示該域域的 GGPO 備份。在在從“域域”節(jié)點(diǎn)點(diǎn)中打開開“管理理備份”對(duì)對(duì)話框時(shí)時(shí)，將會(huì)會(huì)顯示所所有備份份（無(wú)論論備份來(lái)來(lái)自哪個(gè)個(gè)域）。要管理可用用的 GGPO 備份，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在“組策略略管理”窗窗口的“cconttosoo.coom”樹樹下面，右右鍵單擊擊“組策策略對(duì)象象”文件件夾，然然后單擊擊“管理理備份”。此此時(shí)將出出現(xiàn)“管管理備份份”窗口口，如圖圖 9 所示。圖 9. 管理備備份2.在“管理備備份”窗窗口中，單單擊以突突出顯示示先前創(chuàng)創(chuàng)建的“DDomaain Passswoord Pollicyy Baackuup”

45、，然然后單擊擊“查看看設(shè)置”。3.查看詳細(xì)的的 GPPO 信信息，然然后關(guān)閉閉“Innterrnett Exxploorerr”。從備份還原原GPO 還還原操作作從備份份數(shù)據(jù)中中重新創(chuàng)創(chuàng)建 GGPO。可可以在下下列兩種種情況下下使用還還原操作作：備份份了 GGPO 但以后后將其刪刪除；或或 GPPO 處處于活動(dòng)動(dòng)狀態(tài)，并并且您要要回滾到到先前的的已知狀狀態(tài)。還還原操作作將替代代以下 GPOO 組件件。GPO 設(shè)設(shè)置GPO 上上的 DDACLLWMI 篩篩選器鏈鏈接（但但不包括括篩選器器本身）還原操作只只能還原原屬于 GPOO 的對(duì)對(duì)象，其其中包括括到站點(diǎn)點(diǎn)、域或或 OUU 的鏈鏈接、WWMI

46、篩選器器以及 IPSSec 策略。要還原“DDomaain Passswoord Pollicyy”GPPO，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在“管理備備份”窗窗口中，單單擊“還還原”。2.在出現(xiàn)提示示時(shí)，單單擊“確確定”還還原選定定的備份份。3.在 GPOO 還原原完成后后，單擊擊“確定定”。4.在“管理備備份”對(duì)對(duì)話框中中，單擊擊“關(guān)閉閉”。復(fù)制 GPPO您可以使用用復(fù)制操操作，將將 Acctivve DDireectoory 中現(xiàn)有有 GPPO 的的設(shè)置直直接傳送送到新的的 GPPO 中中。將為為復(fù)制操操作期間間創(chuàng)建的的新 GGPO 指定一一個(gè)新的的 GUUID，并并且將其其解除鏈鏈接?？?/p>

47、可以使用用復(fù)制操操作，將將設(shè)置傳傳送到相相同域、相相同林的的其他域域或其他他林的域域中的新新 GPPO。因因?yàn)閺?fù)制制操作將將 Acctivve DDireectoory 中的現(xiàn)現(xiàn)有 GGPO 作為源源，所以以源和目目標(biāo)域之之間需要要具有信信任關(guān)系系。復(fù)制制操作適適用于在在生產(chǎn)環(huán)環(huán)境之間間移動(dòng)組組策略。只只要源和和目標(biāo)域域之間具具有信任任關(guān)系，就就可以使使用這些些操作將將測(cè)試域域或林中中經(jīng)過(guò)測(cè)測(cè)試的組組策略遷遷移到生生產(chǎn)環(huán)境境中。要復(fù)制 GGPO，請(qǐng)請(qǐng)按照以以下步驟驟操作：1.在“conntosso.ccom”樹樹下面的的“組策策略對(duì)象象”文件件夾中，右右鍵單擊擊“Ennforrcedd Uss

48、er Polliciies”GGPO，然然后單擊擊“復(fù)制制”。2.單擊“vaancoouveer.cconttosoo.coom”旁旁邊的加加號(hào) (+) 將將樹展開開，然后后單擊“組組策略對(duì)對(duì)象”旁旁邊的加加號(hào) (+) 將將樹展開開。3.右鍵單擊“組組策略對(duì)對(duì)象”，然然后單擊擊“粘貼貼”。4.在“跨域復(fù)復(fù)制向?qū)?dǎo)”中，單單擊“下下一步”繼繼續(xù)。5.在“指定權(quán)權(quán)限”屏屏幕上，選選擇“新新 GPPO 使使用默認(rèn)認(rèn)權(quán)限”（默默認(rèn)），如如圖 110 所所示，然然后單擊擊“下一一步”。圖 10. 跨域域復(fù)制向向?qū)?.在掃描完原原始 GGPO 后，單單擊“下下一步”繼繼續(xù)。7.在“完成跨跨域復(fù)制制向?qū)А逼?/p>

49、屏幕上，檢檢查設(shè)置置，然后后單擊“完完成”。8.在完成復(fù)制制操作后后，單擊擊“確定定”。注意：“EEnfoorceed UUserr Poolicciess”GPPO 已已復(fù)制到到 vaancoouveer.cconttosoo.coom 域域中，不不過(guò)它尚尚未鏈接接到任何何容器上上。要將“Ennforrcedd Usser Polliciies”GGPO 鏈接到到 vaancoouveer.cconttosoo.coom 的的根目錄錄，請(qǐng)按按照以下下步驟操操作：1.右鍵單擊“vvanccouvver.conntosso.ccom”，單單擊“鏈鏈接現(xiàn)有有 GPPO”，單單擊以突突出顯示示“En

50、nforrcedd Usser Polliciies”，然然后單擊擊“確定定”。導(dǎo)入 GPPO導(dǎo)入操作使使用文件件系統(tǒng)位位置中的的已備份份 GPPO 作作為其源源，將設(shè)設(shè)置傳送送到 AActiive Dirrecttoryy 中的的現(xiàn)有 GPOO?？梢砸允褂脤?dǎo)導(dǎo)入操作作，將一一個(gè) GGPO 的設(shè)置置傳送到到相同域域中的其其他 GGPO、相相同林中中其他域域的 GGPO、或或不同林林中域的的 GPPO。導(dǎo)導(dǎo)入操作作始終將將已備份份設(shè)置放放在現(xiàn)有有的 GGPO 中。它它會(huì)清除除目標(biāo) GPOO 中預(yù)預(yù)先存在在的任何何設(shè)置。導(dǎo)導(dǎo)入并不不要求源源域和目目標(biāo)域之之間具有有信任關(guān)關(guān)系，因因此，非非常適用用于

51、在沒沒有信任任關(guān)系的的林和域域之間傳傳送設(shè)置置。將設(shè)設(shè)置導(dǎo)入入到 GGPO 并不會(huì)會(huì)影響其其 DAACL；也不會(huì)會(huì)影響站站點(diǎn)、域域或 OOU 到到該 GGPO 的鏈接接或者到到 WMMI 篩篩選器的的鏈接。要將 m“Doomaiin PPasssworrd PPoliicy”導(dǎo)導(dǎo)入到 m“Doomaiin PPasssworrd PPoliicy”中中，請(qǐng)按按照以下下步驟操操作：1.在“組策略略管理”窗窗口中，右右鍵單擊擊“vaancoouveer.cconttosoo.coom”，然然后單擊擊“創(chuàng)建建并鏈接接 GPPO”。2.在“新建 GPOO”對(duì)話話框中，鍵鍵入“DDomaain Passswoord Pollicyy”作為為“名稱稱”，然然