了解组策略功能集分步指南
 

本分步指南简要介绍“组策略”,并说明如何使用“组策略”管理单元来指定用户和计算机组的策略设置。

本页内容

组策略功能集分步指南(1)_域控制器 简介
组策略功能集分步指南(1)_安全策略_02 概述
组策略功能集分步指南(1)_AD_03 组策略和 Microsoft 管理控制台
组策略功能集分步指南(1)_组策略_04 附录
组策略功能集分步指南(1)_组策略_05 其他资源

简介

逐步式指南

Microsoft Windows Server 2003 部署分步指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构:安装 Windows Server 2003;配置 Active Directory®;安装 Windows XP Professional 工作站并最终将此工作站添加到域中。后续分步指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

第一部分:将 Windows Server 2003 安装为域控制器

第二部分:安装 Windows XP Professional 工作站并将其连接到域

在配置通用网络结构后,可以使用任何其他分步指南。注意,某些分步指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的分步指南中。

Microsoft Virtual PC

可以在物理实验室环境中或通过虚拟化技术(如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005)来实施 Windows Server 2003 部署分步指南。借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。

Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。

这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。

重要说明

此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,我们决无意影射,任何人也不应由此臆猜,任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。此通用基础结构中使用的虚拟公司名称和域名服务 (DNS) 名称并没有为在 Internet 上使用而进行注册。您不应在公共网络或 Internet 上使用此名称。

此通用基础结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置的模型。

概述

组策略设置定义了需要由系统管理员管理的用户桌面环境中的各种组件;例如,用户可以使用的程序、出现在用户桌面上的程序以及「开始」菜单选项。您指定的组策略设置包含在一个组策略对象 (GPO) 中,该组策略对象又与选定的 Active Directory 对象(站点、域或者组织单位 (OU))关联。

组策略不仅应用于用户和客户端计算机,而且还应用于在管理范围内的成员服务器、域控制器和任何其他 Windows Server 2003 计算机。默认情况下,应用于域的组策略(即,就在“Active Directory 用户和计算机”根目录上面的域级别应用)影响该域中的所有计算机和用户。“Active Directory 用户和计算机”还提供了内置的域控制器 OU。如果在此处保存您的域控制器帐户,则可以使用 GPO 默认域控制器策略,将域控制器与其他计算机分开进行管理。

GPO 链接到 Active Directory 中的站点、域和 OU 容器。默认的优先级顺序遵循 Active Directory 的分层结构特性:先是站点,然后是域,最后是每个 OU。一个 GPO 可以与多个 Active Directory 容器关联,或者说多个容器可以链接到一个 GPO。

可以使用 GPO 基于安全组成员身份来筛选对象,这样,管理员就可以按集中方式或分散方式来管理计算机和用户。为此,管理员可以使用基于安全组的筛选来定义组策略管理的作用域,以便在域级别集中应用组策略。也可以在 OU 级别按分散方式来应用组策略,然后再次按安全组对其进行筛选。管理员可以在组策略中使用安全组来执行以下操作:

筛选 GPO 的作用域。这定义了受 GPO 影响的用户和计算机组。

委派对 GPO 的控制。管理和委派组策略包括两个方面:管理组策略链接和管理创建和编辑 GPO 的人员。

可以使用几种管理工具来管理组策略设置,其中包括:

“组策略对象编辑器 Microsoft 管理控制台 (MMC)”管理单元

Windows Server 2003 中的默认 MMC 管理单元以及在本分步指南中使用的 MMC 管理单元。

带有 Service Pack 1 的组策略管理控制台 (GPMC)

GPMC 通过简化组策略的管理扩展了默认组策略对象编辑器,从而更容易了解、部署、管理组策略的实施和对组策略的实施进行故障排除。GPMC 还允许通过脚本自动完成组策略操作。有关更多信息,请参见关于组策略管理控制台使用的分步指南

提供其他策略设置的第三方扩展

组策略包括影响用户的“用户配置”策略设置,以及影响计算机的“计算机配置”策略设置。

通过使用组策略,您可以执行以下操作:

使用“管理模板”管理基于注册表的策略。组策略创建一个包含注册表设置的文件,这些设置将写到注册表数据库的“User”或“Local Machine”部分。

分配脚本。这包括诸如计算机启动、关机、登录和注销之类的脚本。

重定向文件夹。您可以将“My Documents”和“My Pictures”等文件夹从本地计算机上的“Documents and Settings”文件夹重定向到网络位置。

管理应用程序。您可以通过使用“组策略软件安装”来分配、发布、更新或修复应用程序。

指定安全选项。

本文简要介绍“组策略”,并说明如何使用“组策略”管理单元来指定用户和计算机组的策略设置。

先决条件

第一部分:将 Windows Server 2003 安装为域控制器

Active Directory 管理分步指南

指南要求

注意:本文并没有对所有可能出现的组策略方案全部予以介绍。应当使用此操作说明集来帮助您了解组策略的工作方式,帮助您考虑您的组织如何使用组策略来降低其 IT 管理成本。其他 Windows Server 2003 功能(包括“安全设置”和“软件安装和维护”)都建立在组策略的基础之上。有关可用文档的完整列表,请参见 Windows Server 2003 中的组策略 Web 站点。

组策略和 Microsoft 管理控制台

组策略通过 MMC 管理单元扩展机制与 Active Directory 管理工具直接集成在一起。Active Directory 管理单元设置了组策略管理的作用域。最常见的组策略访问方法是使用“Active Directory 用户和计算机”管理单元将管理作用域设置为域和 OU。您也可以使用“Active Directory 站点和服务”管理单元将管理作用域设置为站点。可以从“管理工具”程序组中访问这两个工具;这两个工具中都启用了“组策略”管理单元扩展。另外,也可以创建自定义的 MMC 控制台(如下一节所述)。

配置自定义控制台

本文中的示例使用自定义的 MMC 控制台,您可以按照本节中所述的过程来创建该控制台。您需要先创建此自定义控制台,然后再尝试执行本文中的其他过程。

要配置自定义控制台,请按照以下步骤操作:

1.

以“administrator@contoso.com”的身份登录到“HQ-CON-DC-01”上。

2.

单击“开始”按钮,单击“运行”,键入“mmc”,然后单击“确定”。

3.

在“控制台1”窗口中,单击“文件”,然后单击“添加/删除管理单元”。

4.

在“添加/删除管理单元”对话框中,单击“添加”。

5.

在“添加独立管理单元”对话框的“可用的独立管理单元”列表框中,单击“Active Directory 用户和计算机”,然后单击“添加”。

6.

在“可用的独立管理单元”列表框中双击“Active Directory 站点和服务”管理单元。

7.

向下滚动,然后双击“组策略对象编辑器”。

8.

在“选择组策略对象”对话框中,确保选中了“组策略对象”下面的“本地计算机”。单击“完成”,然后单击“关闭”。

9.

在“添加/删除管理单元”对话框中,单击“扩展”选项卡。确保为添加到 MMC 控制台中的每个主扩展选择了“添加所有扩展”复选框(它们是默认选中的)。单击“确定”。

要保存控制台更改,请按照以下步骤操作:

1.

在 MMC 控制台中,单击“文件”,然后单击“保存”。

2.

在“保存为”对话框的“文件名”文本框中,键入“GPWalkThrough”,然后单击“保存”。控制台应该如图 1 所示。

组策略功能集分步指南(1)_AD_08

图 1. 组策略 MMC 控制台

 

访问组策略

您可以使用相应的 Active Directory 工具来访问组策略,但可以将焦点放在任何站点、域或 OU。

要从“Active Directory 站点和服务”中打开组策略,请按照以下步骤操作:

1.

在“GPWalkthrough”MMC 控制台的控制台树中,单击“Active Directory 站点和服务”旁边的“+”号。

2.

在控制台树中,单击“Sites”旁边的“+”号,然后右键单击“Default-First-Site-Name”。

3.

单击“属性”,然后单击“组策略”选项卡。

4.

单击“取消”。

要从“Active Directory 用户和计算机”中打开组策略,请按照以下步骤操作:

1.

在“GPWalkthrough”MMC 控制台的控制台树中,单击“Active Directory 用户和计算机”旁边的“+”号。

2.

在控制台树中,右键单击“contoso.com”以访问组策略。

3.

单击“属性”,然后单击“组策略”选项卡。

4.

单击“取消”。

要访问作用域为特定计算机(或本地计算机)的组策略,您必须在针对特定计算机(或本地计算机)的 MMC 控制台名称空间中加载“组策略”管理单元。出现这些差异主要有两个原因:

站点、域和 OU 可以链接多个 GPO;这些 GPO 需要使用中间的属性页来管理它们。

特定计算机的 GPO 存储在该计算机中,而不是存储在 Active Directory 中。

创建组策略对象

组策略设置包含在 GPO 中,这些 GPO 分别链接到选定的 Active Directory 对象(如站点、域或 OU)上。

要创建新的 GPO 并将其链接到“Headquarters”OU 上,请按照以下步骤操作:

1.

在“GPWalkThrough”MMC 中,展开“Active Directory 用户和计算机”下面的“contoso.com”。

2.

单击“Accounts”旁边的“+”号以展开该树。

3.

右键单击“Headquarters”,然后单击“属性”。

4.

在“Headquarters 属性”页上,单击“组策略”选项卡。

5.

单击“新建”,键入“HQ Policy”,然后按“Enter”键。“Headquarters 属性”页如图 2 所示。

组策略功能集分步指南(1)_AD_09

图 2. 链接到“Headquarters”OU 上的新 GPO

 

上述步骤说明如何创建 GPO 并自动将其链接到某个 Active Directory 容器上,即“Headquarters”OU。然而,在定义 GPO 的各种设置之前,GPO 对用户或计算机并没有直接的影响。下一节说明如何编辑“HQ Policy”GPO 设置。

可以在任何 Active Directory 容器下面创建和/或链接多个 GPO。如果多个 GPO 与某个 Active Directory 容器关联,则必须确保 GPO 的顺序正确无误。GPO 在列表中的位置越高,其优先级越高,优先级最高的 GPO 在最后处理。(这就赋予它们一个较高的优先级。)

GPO 是对象;每个 GPO 都有用于查看其属性的上下文菜单。您可以使用上下文菜单来获取并修改有关 GPO 的常规信息。此信息包括自由访问控制列表 (DACL),并列出此 GPO 链接到的其他站点、域或 OU。

最佳做法:您可以通过安全组中的用户或计算机成员身份来进一步优化 GPO,方法是基于该成员身份来设置 DACL。有关使用 DACL 的信息,请参见“安全组筛选”一节。

管理组策略

要管理组策略,请按照以下步骤操作:

访问站点、域或 OU 的上下文菜单

选择“属性”,然后单击“组策略”选项卡。这将显示“组策略属性”页。

注意“组策略属性”页的以下事项。

此页显示已与当前选定站点、域或 OU 相关联的任何 GPO。链接是对象;它们具有上下文菜单,可通过右键单击对象来访问该菜单。(右键单击空白部分可显示一个上下文菜单,它用于创建新链接、添加链接或刷新列表。)

此页还显示一个有序 GPO 列表,优先级最高的 GPO 在列表的顶部。您可以通过选择 GPO,然后使用上箭头键或下箭头键来更改列表顺序。

要关联(链接)某个 GPO,请单击“添加”按钮。

要编辑列表中的现有 GPO,请选择该 GPO,然后单击“编辑”按钮,或双击该 GPO。这将启动“组策略对象编辑器”,您可以在其中修改该 GPO。有关修改 GPO 的更多信息,请参见“编辑组策略对象”。

要从列表中永久性地删除某个 GPO,请从列表中选择该 GPO,然后单击“删除”按钮。在出现相应提示时,选择“移除链接并将组策略对象永久删除”。在删除 GPO 时一定要小心,因为它可能与其他的站点、域或 OU 关联。如果您只想删除 GPO 与当前容器的关联,请从链接列表中选择该 GPO,单击“删除”,然后在出现相应提示时选择“从列表中移除链接”。

要确定与给定 GPO 关联的其他站点、域或 OU,请右键单击该 GPO,从上下文菜单中选择“属性”,然后单击“GPO 属性”页上的“链接”选项卡。单击“开始查找”以检索此 GPO 的当前链接列表。

通过右键单击该 GPO,您可以设置“禁止替代”选项。此选项标记选定的 GPO,以使其策略不会被其他 GPO 替代。

注意:您可以在多个 GPO 上启用“禁止替代”选项。所有标记为“禁止替代”的 GPO 优先于所有其他未标记的 GPO。在标记为“禁止替代”的那些 GPO 中,优先级最高的 GPO 将在所有其他具有相同标记的 GPO 后面应用。

通过右键单击该 GPO,您可以将该 GPO 设置为“已禁用”,它只禁用(停用)该 GPO 而不会将其从列表中删除。

注意:也可以只禁用 GPO 的“用户”或“计算机”部分。为此,请右键单击该 GPO,单击“属性”,然后在“常规”选项卡上,单击“禁用计算机配置设置”或“禁用用户配置设置”。

在 Active Directory 容器的“组策略属性”页上,您可以设置“阻止策略继承”,以禁用在分层结构中处于较高位置的所有 GPO。然而,它无法阻止使用“禁止替代”复选框强制实施的任何 GPO;这些 GPO 总是会得到应用。

注意:如果本地 GPO 内包含的策略设置没有明确被基于域的策略设置替代,则始终应用这些设置。在任何级别进行的“阻止策略继承”都不会删除本地策略。

编辑组策略对象

您可以使用先前创建的“GPWalkThrough”自定义控制台来编辑 GPO。

要编辑 HQ Policy GPO,请按照以下步骤操作:

1.

在“GPWalkThrough”MMC 控制台中,双击“HQ Policy”GPO(或突出显示它,然后单击“编辑”)。这将打开“组策略对象编辑器”供您用来编辑 HQ Policy。它应该如图 3 所示。

组策略功能集分步指南(1)_组策略_10

图 3. HQ Policy
查看大图

 

2.

关闭“HQ Policy”的“组策略对象编辑器”。

添加或浏览组策略对象

要添加 GPO,请按照以下步骤操作:

1.

在“Headquarters 属性”页的“组策略”选项卡中,单击“添加”。此时将出现“添加组策略对象链接”对话框,其中列出了当前与域/OU 和与站点关联的 GPO 或 Active Directory 结构内存在的所有 GPO。图 4 说明了此对话框。

组策略功能集分步指南(1)_安全策略_11

图 4. 添加组策略对象链接

 

检查“添加组策略对象链接”对话框的以下组件,然后关闭该对话框。

“查找范围”下拉框,用于浏览整个 Active Directory 结构以查找某个 GPO。在更改此框中的值时,GPO 和所有子对象将显示在结果窗格中。

在“域/OUs”选项卡上,列表框将显示子 OU 及当前选定域或 OU 的 GPO。要浏览分层结构,请双击某个子 OU 或使用“向上一层”工具栏按钮。

在“站点”选项卡上,将显示与选定站点关联的所有 GPO。请使用下拉列表来选择其他站点。站点没有分层结构。

“全部”选项卡显示在选定域中存储的所有 GPO 的平面列表。如果您知道要选择的 GPO 的名称,但不知道其当前关联的位置,这种方法非常有用。这也是唯一用来创建没有站点、域或 OU 链接的 GPO 的地方。

要在“全部”选项卡上创建未链接的 GPO,请选择“创建新的组策略对象”工具栏按钮,或者右键单击空白部分,然后单击“新建”。命名新的 GPO,按“Enter”键,然后单击“取消”;不要单击“确定”。如果单击“确定”,则会将新 GPO 链接到当前站点、域或 OU。单击“取消”将创建未链接的 GPO。

要将某个 GPO 与当前选定的域或 OU 关联,请双击所需的 GPO。

注意:两个或多个 GPO 可以具有相同的名称。这是设计使然,由于 GPO 实际上是作为全局唯一标识符 (GUID) 进行存储的,因而可能会出现这种情况。所示的显示名称实际上是在 Active Directory 中存储的友好名称。