ActiveDirectory环境中使用组策略管理控制台.docx

ActiveDirectory环境中使用组策略管理控制台.docx

《ActiveDirectory环境中使用组策略管理控制台.docx》由会员分享，可在线阅读，更多相关《ActiveDirectory环境中使用组策略管理控制台.docx（18页珍藏版）》请在冰点文库上搜索。

ActiveDirectory环境中使用组策略管理控制台

关于组策略管理控制台使用的逐步式指南

该逐步式指南提供了在ActiveDirectory环境中使用组策略管理控制台（GPMC）来支持组策略对象（GPO）的一般性指导。

该指南并不提供GPO实施指导。

本页内容

简介

概述

安装和配置GPMC管理组策略对象

GPO备份、还原、复制以及导入

GPO建模

简介

逐步式指南

WindowsServer2003部署逐步式指南提供了很多常见操作系统配置的实际操作经验。

本指南首先介绍通过以下过程来建立通用网络结构：

安装WindowsServer2003；配置ActiveDirectory；安装WindowsXPProfessional工作站并最后将此工作站添加到域中。

后续逐步式指南假定您已建立了此通用网络结构。

如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

在配置通用网络结构后，可以使用任何其他的逐步式指南。

注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。

任何额外的要求都将列在特定的逐步式指南中。

MicrosoftVirtualPC

可以在物理实验室环境中或通过虚拟化技术（如MicrosoftVirtualPC2004或MicrosoftVirtualServer2005）来实施WindowsServer2003部署逐步式指南。

借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。

VirtualPC2004和VirtualServer2005就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。

WindowsServer2003部署逐步式指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。

重要说明

此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。

此通用结构中使用的虚拟公司名称和域名系统（DNS）名称并未注册以便在Internet上使用。

您不应在公共网络或Internet上使用此名称。

此通用结构的ActiveDirectory服务结构用于说明“WindowsServer2003更改和配置管理”如何与ActiveDirectory配合使用。

不能将其作为任何组织进行ActiveDirectory配置的模型。

概述

Microsoft组策略管理控制台（GPMC）是一个用于组策略管理的新工具，它通过改进易管理性和提高效率帮助管理员更经济有效地管理企业。

它包含一个新的Microsoft管理控制台（MMC）管理单元和一组可编程接口。

GPMC提供单一位置来管理组策略核心内容，从而简化了组策略的管理。

它可以根据用户需要提供以下功能来满足最高的组策略部署要求。

使组策略更易于使用的用户界面（UI）。

组策略对象（GPO）备份/还原。

GPO导入/导出和复制/粘贴以及WindowsManagementInstrumentation（WMI）筛选器。

简化了对组策略相关安全功能的管理。

GPO设置和策略的结果集（RSoP）数据的超文本标记语言（HTML）报告。

将此工具中提供的策略相关任务编制成脚本（而不是将GPO设置编制成脚本）。

过去，管理员需要使用几个Microsoft工具来管理组策略，如“ActiveDirectory用户和计算机”、“ActiveDirectory站点和服务”以及“策略的结果集”管理单元。

GPMC将这些工具中提供的现有组策略功能以及一些新功能集成到一个统一的控制台中。

GPMC中内置了对多个域和林管理的支持，因此，管理员可以方便地管理整个企业中的组策略。

管理员可以完全控制在GPMC中列出哪些林和域，因而可以只显示环境的相关部分。

注意：

该逐步式指南只提供使用GPMC来管理GPO的指导，并不提供有关其配置的指导。

有关配置GPO的信息，请参见。

先决条件

安装和配置GPMC

安装GPMC

GPMC安装是一个涉及运行WindowsInstaller（.MSI）程序包的简单过程。

要下载最新版本，请参见WindowsServerSystem组策略管理站点，网址为：

。

要安装组策略管理控制台，请按照以下步骤操作：

1.

在服务器“HQ-CON-DC-01”上，浏览到包含“”的文件夹，双击“”程序包，然后单击“下一步”。

2.

单击“我同意”，接受最终用户许可协议（EULA），然后单击“下一步”。

3.

单击“完成”以完成GPMC安装。

在安装完成后，更新ActiveDirectory管理单元中站点、域和组织单位（OU）属性页上显示的“组策略”选项卡以提供到GPMC的直接链接。

由于所有组策略管理功能都是通过GPMC提供的，因此，无法再使用先前在原始“组策略”选项卡上提供的功能。

要打开GPMC管理单元，请按照以下步骤操作：

1.

在服务器“HQ-CON-DC-01”上，单击“开始”按钮，单击“运行”，键入“”，然后单击“确定”。

注意：

此外，也可以使用以下两种方法之一启动GPMC。

在“开始”菜单或“控制面板”中，单击“管理工具”文件夹中的“组策略管理”快捷方式。

创建自定义的MMC控制台：

单击“开始”按钮，单击“运行”，键入“MMC”，然后单击“确定”。

指向“文件”，单击“添加/删除管理单元”，然后单击“添加”。

单击以突出显示“组策略管理”，单击“添加”，单击“关闭”，然后单击“确定”。

为多个林配置GPMC

您可以方便地将多个林添加到GPMC控制台树中。

默认情况下，只有在某个林与运行GPMC的用户林之间具有双向信任关系时，才能将其添加到GPMC中。

您可以有选择地允许GPMC使用仅单向信任关系或根本不使用信任关系。

通过突出显示树根目录中的“组策略管理”，从上下文菜单中选择“操作”，然后单击“添加林”，将另一个林添加到GPMC中。

由于示例环境只包含单个林，因此，执行这些步骤超出了本逐步式指南的讨论范围。

注意：

在添加不受信任的林时，将无法使用某些功能。

例如，不能使用“组策略建模”，并且无法打开“组策略对象编辑器”以编辑不受信任的林中的GPO。

不受信任的林方案主要用于支持跨林复制GPO。

同时管理多个域

GPMC支持同时管理多个域，并且每个域在控制台中是按林进行分组的。

默认情况下，GPMC中只显示一个域。

在首先使用预配置的管理单元或自定义MMC控制台启动GPMC后，GPMC将显示包含用于启动GPMC的用户帐户的域。

通过添加和删除控制台中显示的域，您可以指定每个林中要使用GPMC管理的域。

注意：

即使您没有整个林的林信任关系，您也可添加外部信任域。

默认情况下，要添加的域和用户对象域之间必须具有双向信任关系。

也可以通过使用“查看”菜单中的“选项”对话框禁用GPMC的信任检测功能，来添加具有单向信任关系的域。

要添加外部信任域，您必须先使用“添加林”对话框，从包含外部信任域的林中添加一个域。

在添加该林后，您可通过右键单击该林的“域”节点，然后单击“显示域”，在该受信任的林中添加任何域。

1.

在“组策略管理”窗口中，单击“林:

”旁边的加号（+）将树展开，然后单击“域”旁边的加号（+）。

2.

右键单击“域”，然后单击“显示域”。

3.

图1.显示域

在GPMC的每个可用域中，可使用相同的域控制器来完成该域中的所有操作。

这包括位于该域中的GPO、OU、安全主体以及WMI筛选器上的所有操作。

另外，在从GPMC中打开“组策略对象编辑器”时，它始终将GPMC中的目标域控制器用于GPO所在的域。

GPMC允许您为每个域选择使用哪个域控制器。

您可以选择四个选项之一。

使用主域控制器（PDC）模拟器（默认选项）。

使用任何可用的域控制器。

使用运行WindowsServer2003家族操作系统的任何可用域控制器。

如果您要还原包含组策略软件安装设置的已删除GPO，该选项是非常有用的。

使用指定的特定域控制器。

1.

2.

3.

单击“确定”继续。

图2.更改域控制器

管理组策略对象

查看域GPO

在每个域中，GPMC都提供了一个基于策略的ActiveDirectory视图以及与组策略关联的组件，如GPO、WMI筛选器以及GPO链接。

GPMC中的视图与“ActiveDirectory用户和计算机”MMC管理单元中的视图类似，它们都显示OU分层结构。

然而，GPMC与该管理单元不同之处在于，它不显示OU中的用户、计算机和组，而显示链接到每个容器的GPO以及链接到这些GPO本身的GPO。

GPMC中的每个域节点都显示以下项目。

链接到该域的所有GPO。

所有顶级OU、嵌套OU树状视图以及链接到每个OU的GPO。

显示域中所有GPO的“组策略对象”容器。

显示域中所有WMI筛选器的“WMI筛选器”容器。

要查看与特定容器关联的GPO，请按照以下步骤操作：

1.

在“域”树下，单击“”树。

此时将出现与该容器（域根目录）关联的GPO，如图3所示。

可将此概念应用于任何域容器。

图3.域根目录中的GPO

要查看与特定域关联的所有GPO，请按照以下步骤操作：

1.

在“域”树下，单击“”旁边的加号（+），然后单击“组策略对象”。

搜索GPO

可以在林或域级别进行GPO搜索。

通过使用单个或多个搜索参数，有助于在大量的GPO中缩小搜索结果的范围。

要使用多个搜索参数在林中查找特定GPO，请按照以下步骤操作：

1.

在控制台树中，右键单击“林:

”，然后单击“搜索”。

2.

在“搜索项”框中，选择“GPO名称”，键入“Password”作为“值”，然后单击“添加”。

3.

在“搜索项”框中，选择“计算机配置”，选择“Security”作为“值”，然后单击“添加”。

4.

单击“搜索”。

结果应该如图4所示。

图4.基于条件的GPO搜索

5.

在返回搜索结果后，您可以执行以下操作之一：

要打开GPO进行编辑，请单击“编辑”。

要保存搜索结果，请单击“保存结果”。

在“保存GPO搜索结果”对话框中，指定保存结果的文件名称，然后单击“保存”。

要浏览到在搜索中找到的某个GPO，请在搜索结果列表中双击该GPO。

要清除搜索结果，请单击“清除”。

要关闭“搜索组策略对象”对话框，请单击“关闭”。

确定GPO的作用域

只能通过正确地将GPO应用于要管理的ActiveDirectory容器来实现组策略值。

确定哪些用户和计算机接收GPO中的设置的过程称为“确定GPO的作用域”。

确定GPO作用域的过程基于三个因素。

GPO链接到的站点、域或OU将GPO中的设置应用于用户和计算机的主要机制是，将GPO链接到ActiveDirectory中的站点、域或OU。

链接GPO的位置称为“管理作用域”或SOM（在前面的白皮书中也将其视为SDOU）。

SOM共有三种类型：

站点、域和OU。

可将一个GPO链接到多个SOM，也可以将一个SOM链接到多个GPO。

要应用某个GPO，您必须将其链接到SOM。

GPO上的安全筛选默认情况下，位于链接了GPO的SOM及其子对象中的所有AuthenticatedUsers（已授权用户）将应用GPO中的设置。

通过管理GPO中的权限，您可以进一步细化哪些用户和计算机将接收GPO中的设置。

这称为“安全筛选”。

对于要应用于特定用户或计算机的GPO，该用户或计算机必须拥有该GPO的“读取”和“应用组策略”权限。

默认情况下，GPO权限允许“AuthenticatedUsers”组拥有这两个权限。

这就是在将新GPO链接到SOM（OU、域或站点）时，所有已授权用户接收该GPO设置的方法。

但是，可以更改这些权限，将GPO的作用域限定为它所链接到的SOM中的一组特定用户、组和/或计算机。

GPO上的WMI筛选器通过使用WMI筛选器，管理员可以基于目标计算机属性（通过WMI实现）动态地确定GPO的作用域。

WMI筛选器由一个或多个查询组成，这些查询针对目标计算机WMI储存库的求值结果为真或假。

WMI筛选器是与目录中GPO不同的对象。

要将WMI筛选器应用于某个GPO，请将筛选器链接到该GPO，如GPO的“作用域”选项卡上的“WMI筛选”部分所示。

每个GPO只能有一个WMI筛选器，不过，可以将同一个WMI筛选器链接到多个GPO。

在目标计算机上应用链接到WMI筛选器的GPO时，将在该目标计算机上对该筛选器进行求值。

如果WMI筛选器计算结果为假，则不应用GPO。

如果WMI筛选器计算结果为真，则应用GPO。

要确定在以前搜索中找到的“DomainPasswordPolicy”GPO的作用域，请按照以下步骤操作：

1.

在“搜索组策略对象”搜索结果窗格中，双击“DomainPasswordPolicy”，然后单击“关闭”。

注意：

在关闭“搜索组策略对象”对话框后，以前选择的GPO在GPMC中具有焦点。

此时将出现“GPO作用域”页，如图5所示。

图5.确定GPO的作用域

要检查GPO将应用的策略，请按照以下步骤操作：

1.

在“DomainPasswordPolicy”结果窗格中，单击“设置”选项卡，然后单击“全部显示”。

此时将显示所有已定义策略设置的摘要（如图6所示），但不显示未定义的设置。

图6.检查GPO设置

GPO策略继承和链接顺序

特定容器的“组策略继承”选项卡显示从父容器继承的所有GPO（链接到站点上的GPO除外）。

该选项卡中的“优先”列显示所有链接的总体优先级（这些链接将应用于该容器中的对象），并考虑“链接顺序”和每个链接的“强制”属性以及“阻止继承”。

要查看容器中的策略继承，请按照以下步骤操作：

1.

在“组策略管理”窗口的“”树下面，展开“Accounts”OU，然后单击“Headquarters”OU，如图7所示。

图7.组策略继承

如果将多个GPO链接到相同的容器，并且这些GPO具有相同的设置，则必须有一个协调这些设置的机制。

这种行为是由链接顺序控制的。

链接顺序编号越小，优先级越高。

特定容器链接的相关信息显示在该容器的“链接的组策略对象”选项卡中。

该窗格显示是否强制进行链接，是否启用链接，GPO状态，是否应用WMI筛选器，其修改时间以及存储它的域容器。

委派了“将GPO链接到容器”权限的管理员或用户可以使用以下方法更改链接顺序：

突出显示GPO链接，然后使用向上和向下箭头，在链接顺序列表中向上或向下移动链接。

要更改容器中的策略链接顺序，请按照以下步骤操作：

1.

在“Headquarters”屏幕上，单击“链接的组策略对象”。

2.

在“GPO”列下面，单击“LinkedPolicies”，然后单击“链接顺序”列左侧的向上箭头。

完成后，“Headquarters”OU下面GPO的链接顺序应该如图8所示。

图8.GPO链接顺序

GPO备份、还原、复制以及导入

备份GPO

GPO备份操作将GPO中的数据复制到文件系统中。

备份功能还具有GPO导出功能。

可使用GPO备份将GPO还原到已备份状态，或者将备份中的设置导入到另一个GPO中。

GPO备份操作将GPO内部存储的所有信息保存到文件系统中。

其中包括以下内容：

GPO全局唯一标识符（GUID）和域GPO设置

GPO中的自由访问控制列表（DACL）

WMI筛选器链接（如果有的话），但不包括筛选器本身

到IP安全策略的链接（如果有的话）

GPO设置的可扩展标记语言（XML）报告（可将其视为GPMC中的HTML）

备份的日期和时间戳

用户提供的备份说明

GPO备份操作只保存在GPO中存储的数据。

在GPO外面存储的数据包括以下内容：

到站点、域或OU的链接

WMI筛选器

IP安全策略

在将备份还原到原始GPO或导入新GPO时，该数据不可用。

要备份“DomainPasswordPolicy”GPO，请按照以下步骤操作：

1.

在“组策略管理”窗口的“”树下面，单击“组策略对象”文件夹。

2.

在“组策略对象”文件夹中，右键单击“DomainPasswordPolicy”GPO，然后单击“备份”。

3.

在“备份组策略对象”对话框中，键入“c:

\windows”作为“位置”，键入“DomainPasswordPolicyBackup”作为“描述”，然后单击“备份”。

4.

在备份完成后，单击“确定”继续。

管理备份

可以将多个相同或不同的GPO备份存储在相同的文件系统位置中。

每个备份都使用唯一的备份ID来标识。

可以使用GPMC中的“管理备份”对话框或通过可编程接口来管理特定文件系统位置中的备份集合。

可通过右键单击特定域中的“域”节点或“组策略对象”节点来访问“管理备份”对话框。

在从“组策略对象”节点中打开“管理备份”时，就会自动对视图进行筛选，以便只显示该域的GPO备份。

在从“域”节点中打开“管理备份”对话框时，将会显示所有备份（无论备份来自哪个域）。

要管理可用的GPO备份，请按照以下步骤操作：

1.

在“组策略管理”窗口的“”树下面，右键单击“组策略对象”文件夹，然后单击“管理备份”。

此时将出现“管理备份”窗口，如图9所示。

图9.管理备份

2.

在“管理备份”窗口中，单击以突出显示先前创建的“DomainPasswordPolicyBackup”，然后单击“查看设置”。

3.

查看详细的GPO信息，然后关闭“InternetExplorer”。

从备份还原

GPO还原操作从备份数据中重新创建GPO。

可以在下列两种情况下使用还原操作：

备份了GPO但以后将其删除；或GPO处于活动状态，并且您要回滚到先前的已知状态。

还原操作将替代以下GPO组件。

GPO设置

GPO上的DACL

WMI筛选器链接（但不包括筛选器本身）

还原操作只能还原属于GPO的对象，其中包括到站点、域或OU的链接、WMI筛选器以及IPSec策略。

要还原“DomainPasswordPolicy”GPO，请按照以下步骤操作：

1.

在“管理备份”窗口中，单击“还原”。

2.

在出现提示时，单击“确定”还原选定的备份。

3.

在GPO还原完成后，单击“确定”。

4.

在“管理备份”对话框中，单击“关闭”。

复制GPO

您可以使用复制操作，将ActiveDirectory中现有GPO的设置直接传送到新的GPO中。

将为复制操作期间创建的新GPO指定一个新的GUID，并且将其解除链接。

可以使用复制操作，将设置传送到相同域、相同林的其他域或其他林的域中的新GPO。

因为复制操作将ActiveDirectory中的现有GPO作为源，所以源和目标域之间需要具有信任关系。

复制操作适用于在生产环境之间移动组策略。

只要源和目标域之间具有信任关系，就可以使用这些操作将测试域或林中经过测试的组策略迁移到生产环境中。

要复制GPO，请按照以下步骤操作：

1.

在“”树下面的“组策略对象”文件夹中，右键单击“EnforcedUserPolicies”GPO，然后单击“复制”。

2.

+）将树展开，然后单击“组策略对象”旁边的加号（+）将树展开。

3.

右键单击“组策略对象”，然后单击“粘贴”。

4.

在“跨域复制向导”中，单击“下一步”继续。

5.

在“指定权限”屏幕上，选择“新GPO使用默认权限”（默认），如图10所示，然后单击“下一步”。

图10.跨域复制向导

6.

在扫描完原始GPO后，单击“下一步”继续。

7.

在“完成跨域复制向导”屏幕上，检查设置，然后单击“完成”。

8.

在完成复制操作后，单击“确定”。

注意：

1.

导入GPO

导入操作使用文件系统位置中的已备份GPO作为其源，将设置传送到ActiveDirectory中的现有GPO。

可以使用导入操作，将一个GPO的设置传送到相同域中的其他GPO、相同林中其他域的GPO、或不同林中域的GPO。

导入操作始终将已备份设置放在现有的GPO中。

它会清除目标GPO中预先存在的任何设置。

导入并不要求源域和目标域之间具有信任关系，因此，非常适用于在没有信任关系的林和域之间传送设置。

将设置导入到GPO并不会影响其DACL；也不会影响站点、域或OU到该GPO的链接或者到WMI筛选器的链接。

1.

2.

在“新建GPO”对话框中，键入“DomainPasswordPolicy”作为“名称”，然后单击“确定”。

3.

4.

在“导入设置向导”中，单击“下一步”继续。

5.

在“备份GPO”屏幕上，单击“下一步”继续，由于GPO当前没有策略定义，所以不进行备份。

6.

接受默认备份文件夹“c:

\windows”，然后单击“下一步”继续。

7.

由于“DomainPasswordPolicy”是当前唯一的备份，所以默认选择该GPO。

单击“下一步”，开始从该GPO中导入设置。

8.

在扫描完GPO安全主体后，单击“下一步”，然后单击“完成”。

9.

在“导入设置向导”完成后，单击“确定”。

1.

GPO建模

组策略建模

“组策略建模”模拟在管理员指定的环境中出现的情况。

因为此模拟过程是由运行WindowsServer2003的域控制器上运行的一项服务完成的，所以至少需要有一个运行WindowsServer2003的域控制器。

通过使用“组策略建模”，您可以模拟应用于现有配置的RSoP数据；或者通过模拟目录环境的假设性更改，然后计算该假设性配置的RSoP来进行“假定推测”分析。

例如，您可以模拟安全组成员身份更改或ActiveDirectory中用户或计算机对象位置更改。

在G