Active Directory 环境中使用组策略管理控制台 (GPMC)

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

关于组策略管理控制台使用的逐步式指南该逐步式指南提供了在ActiveDirectory环境中使用组策略管理控制台(GPMC)来支持组策略对象(GPO)的一般性指导。该指南并不提供GPO实施指导。本页内容简介概述安装和配置GPMC管理组策略对象GPO备份、还原、复制以及导入GPO建模简介逐步式指南WindowsServer2003部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构:安装WindowsServer2003;配置ActiveDirectory®;安装WindowsXPProfessional工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。通用网络结构要求完成以下指南。•第一部分:将WindowsServer2003安装为域控制器•第二部分:安装WindowsXPProfessional工作站并将其连接到域上在配置通用网络结构后,可以使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。MicrosoftVirtualPC可以在物理实验室环境中或通过虚拟化技术(如MicrosoftVirtualPC2004或MicrosoftVirtualServer2005)来实施WindowsServer2003部署逐步式指南。借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。VirtualPC2004和VirtualServer2005就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。WindowsServer2003部署逐步式指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS)名称并未注册以便在Internet上使用。您不应在公共网络或Internet上使用此名称。此通用结构的ActiveDirectory服务结构用于说明“WindowsServer2003更改和配置管理”如何与ActiveDirectory配合使用。不能将其作为任何组织进行ActiveDirectory配置的模型。概述Microsoft组策略管理控制台(GPMC)是一个用于组策略管理的新工具,它通过改进易管理性和提高效率帮助管理员更经济有效地管理企业。它包含一个新的Microsoft管理控制台(MMC)管理单元和一组可编程接口。GPMC提供单一位置来管理组策略核心内容,从而简化了组策略的管理。它可以根据用户需要提供以下功能来满足最高的组策略部署要求。•使组策略更易于使用的用户界面(UI)。•组策略对象(GPO)备份/还原。•GPO导入/导出和复制/粘贴以及WindowsManagementInstrumentation(WMI)筛选器。•简化了对组策略相关安全功能的管理。•GPO设置和策略的结果集(RSoP)数据的超文本标记语言(HTML)报告。•将此工具中提供的策略相关任务编制成脚本(而不是将GPO设置编制成脚本)。过去,管理员需要使用几个Microsoft工具来管理组策略,如“ActiveDirectory用户和计算机”、“ActiveDirectory站点和服务”以及“策略的结果集”管理单元。GPMC将这些工具中提供的现有组策略功能以及一些新功能集成到一个统一的控制台中。GPMC中内置了对多个域和林管理的支持,因此,管理员可以方便地管理整个企业中的组策略。管理员可以完全控制在GPMC中列出哪些林和域,因而可以只显示环境的相关部分。注意:该逐步式指南只提供使用GPMC来管理GPO的指导,并不提供有关其配置的指导。有关配置GPO的信息,请参见了解组策略功能集的逐步式指南。先决条件•第一部分:将WindowsServer2003安装为域控制器•安装其他域控制器的逐步式指南•ActiveDirectory管理逐步式指南•关于控制委派向导使用方法的逐步式指南•了解组策略功能集的逐步式指南•强制实施强密码策略的逐步式指南安装和配置GPMC安装GPMCGPMC安装是一个涉及运行WindowsInstaller(.MSI)程序包的简单过程。要下载最新版本,请参见WindowsServerSystem组策略管理站点,网址为:。要安装组策略管理控制台,请按照以下步骤操作:1.在服务器“HQ-CON-DC-01”上,浏览到包含“gpmc.msi”的文件夹,双击“gpmc.msi”程序包,然后单击“下一步”。2.单击“我同意”,接受最终用户许可协议(EULA),然后单击“下一步”。3.单击“完成”以完成GPMC安装。在安装完成后,更新ActiveDirectory管理单元中站点、域和组织单位(OU)属性页上显示的“组策略”选项卡以提供到GPMC的直接链接。由于所有组策略管理功能都是通过GPMC提供的,因此,无法再使用先前在原始“组策略”选项卡上提供的功能。要打开GPMC管理单元,请按照以下步骤操作:1.在服务器“HQ-CON-DC-01”上,单击“开始”按钮,单击“运行”,键入“GPMC.msc”,然后单击“确定”。注意:此外,也可以使用以下两种方法之一启动GPMC。•在“开始”菜单或“控制面板”中,单击“管理工具”文件夹中的“组策略管理”快捷方式。•创建自定义的MMC控制台:单击“开始”按钮,单击“运行”,键入“MMC”,然后单击“确定”。指向“文件”,单击“添加/删除管理单元”,然后单击“添加”。单击以突出显示“组策略管理”,单击“添加”,单击“关闭”,然后单击“确定”。为多个林配置GPMC您可以方便地将多个林添加到GPMC控制台树中。默认情况下,只有在某个林与运行GPMC的用户林之间具有双向信任关系时,才能将其添加到GPMC中。您可以有选择地允许GPMC使用仅单向信任关系或根本不使用信任关系。通过突出显示树根目录中的“组策略管理”,从上下文菜单中选择“操作”,然后单击“添加林”,将另一个林添加到GPMC中。由于示例环境只包含单个林,因此,执行这些步骤超出了本逐步式指南的讨论范围。注意:在添加不受信任的林时,将无法使用某些功能。例如,不能使用“组策略建模”,并且无法打开“组策略对象编辑器”以编辑不受信任的林中的GPO。不受信任的林方案主要用于支持跨林复制GPO。同时管理多个域GPMC支持同时管理多个域,并且每个域在控制台中是按林进行分组的。默认情况下,GPMC中只显示一个域。在首先使用预配置的管理单元(gpmc.msc)或自定义MMC控制台启动GPMC后,GPMC将显示包含用于启动GPMC的用户帐户的域。通过添加和删除控制台中显示的域,您可以指定每个林中要使用GPMC管理的域。注意:即使您没有整个林的林信任关系,您也可添加外部信任域。默认情况下,要添加的域和用户对象域之间必须具有双向信任关系。也可以通过使用“查看”菜单中的“选项”对话框禁用GPMC的信任检测功能,来添加具有单向信任关系的域。要添加外部信任域,您必须先使用“添加林”对话框,从包含外部信任域的林中添加一个域。在添加该林后,您可通过右键单击该林的“域”节点,然后单击“显示域”,在该受信任的林中添加任何域。要将vancouver.contoso.com子域添加到控制台中,请按照以下步骤操作:1.在“组策略管理”窗口中,单击“林:contoso.com”旁边的加号(+)将树展开,然后单击“域”旁边的加号(+)。2.右键单击“域”,然后单击“显示域”。3.选择“vancouver.contoso.com”旁边的复选框(如图1所示),然后单击“确定”。图1.显示域在GPMC的每个可用域中,可使用相同的域控制器来完成该域中的所有操作。这包括位于该域中的GPO、OU、安全主体以及WMI筛选器上的所有操作。另外,在从GPMC中打开“组策略对象编辑器”时,它始终将GPMC中的目标域控制器用于GPO所在的域。GPMC允许您为每个域选择使用哪个域控制器。您可以选择四个选项之一。•使用主域控制器(PDC)模拟器(默认选项)。•使用任何可用的域控制器。•使用运行WindowsServer2003家族操作系统的任何可用域控制器。如果您要还原包含组策略软件安装设置的已删除GPO,该选项是非常有用的。•使用指定的特定域控制器。要更改GPMC用于vancouver.contoso.com域的域控制器,请按照以下步骤操作:1.在“组策略管理”窗口的“域”文件夹下面,右键单击“vancouver.contoso.com”,然后单击“更改域控制器”。2.在“更改域控制器”对话框中,单击“此域控制器”,然后单击以突出显示“hq-con-dc-03.vancouver.contoso.com”(如图2所示)。3.单击“确定”继续。图2.更改域控制器管理组策略对象查看域GPO在每个域中,GPMC都提供了一个基于策略的ActiveDirectory视图以及与组策略关联的组件,如GPO、WMI筛选器以及GPO链接。GPMC中的视图与“ActiveDirectory用户和计算机”MMC管理单元中的视图类似,它们都显示OU分层结构。然而,GPMC与该管理单元不同之处在于,它不显示OU中的用户、计算机和组,而显示链接到每个容器的GPO以及链接到这些GPO本身的GPO。GPMC中的每个域节点都显示以下项目。•链接到该域的所有GPO。•所有顶级OU、嵌套OU树状视图以及链接到每个OU的GPO。•显示域中所有GPO的“组策略对象”容器。•显示域中所有WMI筛选器的“WMI筛选器”容器。要查看与特定容器关联的GPO,请按照以下步骤操作:1.在“域”树下,单击“contoso.com”树。此时将出现与该容器(域根目录)关联的GPO,如图3所示。可将此概念应用于任何域容器。图3.域根目录中的GPO要查看与特定域关联的所有GPO,请按照以下步骤操作:1.在“域”树下,单击“contoso.com”旁边的加号(+),然后单击“组策略对象”。搜索GPO可以在林或域级别进行GPO搜索。通过使用单个或多个搜索参数,有助于在大量的GPO中缩小搜索结果的范围。要使用多个搜索参数在contoso.com林中查找特定GPO,请按照以下步骤操作:1.在控制台树中,右键单击“林:contoso.com”,然后单击“搜索”。2.在“搜索项”框中,选择“GPO名称”,键入“Password”作为“值”,然后单击“添加”。3.在“搜索项”框中,选择“计算机配置”,选择“Security”作为“值”,然后单击“添加”。4.单击“搜索”。结果应该如图4所示。图4.基于条件的GPO搜索5.在返回搜索结果后,您可以执行以下操作之一:•要打开GPO进行编辑,请单击“编辑”。•要保存搜索结果,请单击“保存结果”。在“保存GPO搜索结果”对话框中,指定保存结果的文件名称,然后单击“保存”。•要浏览到在搜索中找到的某个GPO,请在搜索结果列表中双击该GPO。•要清除搜索结果,请单击“清除”。•要关闭“搜索组策略对象”对话框,请单击“关闭”。确定GPO的作用域只能通过正确地将GPO应用于要管理的ActiveDirectory容器来实现组策略值。确定哪些用户和计算机接收GPO中的设置的过程称为“确定GPO的作用域”。确定GPO作用域的过程基于三个因素。•GPO链接到的站点、域或OU将GPO中的设置应用于用户和计算机的主要机制是,将G

1 / 15
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功