Windows_Server_2008组策略详解

组策略详解

更新时间: 2009年1月

应用到: Windows Server 2008

可以使用 Windows Server 2008 组策略来管理计算机和用户组配置，包括以下各项所对应的选项：基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。Windows Server 2008 中新增的组策略首选项是二十多个组策略扩展，用于扩展组策略对象 (GPO) 中的可配置策略设置的范围。与组策略设置相比，首选项是非强制性的。用户可以在初始部署后更改首选项。有关组策略首选项的信息，请参阅组策略首选项概述（可能为英文网页）。

通过使用组策略，您可以大大降低组织的总拥有成本。各种各样的因素可能会使组策略设计变得非常复杂，例如，大量可用的策略设置、多个策略之间的交互以及继承选项。通过仔细规划、设计、测试并部署基于组织业务要求的解决方案，您可以提供组织所需的标准化功能、安全性以及管理控制。

组策略概述

组策略在运行 Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP 的计算机上启用基于 Active Directory 的用户和计算机设置更改和配置管理。除了使用组策略为用户和计算机组定义配置以外，还可以配置很多服务器特定的操作和安全设置，以便使用组策略帮助管理服务器计算机。

您创建的组策略设置包含在 GPO 中。若要创建和编辑 GPO，请使用组策略管理控制台 (GPMC)。通过使用 GPMC 将 GPO 链接到选定 Active Directory 站点、域和组织单位 (OU)，您可以将 GPO 中的策略设置应用于这些 Active Directory 对象中的用户和计算机。OU 是可以分配组策略设置的最低级别的 Active Directory 容器。

为指导您的组策略设计决策，您需要清楚地了解组织的业务需求、服务级别协议以及安全、网络和IT 要求。通过分析当前的环境和用户要求，使用组策略定义要实现的业务目标，以及按照这些准则设计组策略基础结构，您可以确定最符合组织需要的方法。

用于实现组策略解决方案的过程

用于实现组策略解决方案的过程涉及规划、设计、部署和维护解决方案。

在规划组策略设计时，请确保设计 OU 结构以简化组策略管理并符合服务级别协议。应制订使用GPO 的正确操作步骤。确保您了解组策略互操作性问题，并确定是否打算使用组策略进行软件部署。

在设计阶段：

定义组策略的应用范围。

?确定适用于所有企业用户的策略设置。

?基于角色和位置对用户和计算机进行分类。

?基于用户和计算机要求规划桌面配置。

规划完善的设计有助于确保成功部署组策略。

部署阶段从测试环境中的暂存过程开始。该过程包括：

?创建标准桌面配置。

?筛选 GPO 的应用范围。

?指定默认组策略继承的例外情况。

?委派组策略管理。

?使用组策略建模评估有效的策略设置。

?使用组策略结果评估这些结果。

暂存过程至关重要。应在测试环境中全面测试组策略实现，然后再将其部署到生产环境中。完成暂存和测试后，请使用 GPMC 将 GPO 迁移到生产环境中。应考虑循环反复的组策略实现：并非部署100 种新组策略设置，而是最初暂存并仅部署几种策略设置以验证组策略基础结构是否正常工作。

最后，制订使用组策略以及通过 GPMC 解决 GPO 问题的控制过程以准备维护组策略。

备注

Microsoft 高级组策略管理 (AGPM) 通过提供全面的更改控制和增强的 GPO 管理来扩展 GPMC 功能。有关 AGPM 的详细信息，请访问 Microsoft 桌面优化包 (MDOP) 网站

(https://www.360docs.net/doc/c21394408.html,/fwlink/?LinkId=100757)（可能为英文网页）。

在设计组策略解决方案之前需要执行的操作

在设计组策略实现之前，您需要了解当前的组织环境并需要在以下几个方面执行预备步骤：?Active Directory：确保林中所有域的 Active Directory OU 设计都支持应用组策略。有关详细信息，请参阅本指南后面部分中的设计支持组策略的 OU 结构。

?网络：确保您的网络符合更改和配置管理技术的要求。例如，由于组策略使用完全限定的域名，因此，您必须在林中运行目录名称服务 (DNS) 才能正确处理组策略。

?安全：获取域中当前使用的安全组的列表。在委派组织单位管理责任以及创建需要安全组筛选的设计时，应与安全管理员紧密合作。有关筛选 GPO 的详细信息，请参阅本指南后面部分中的定义组策略的应用范围中的“将 GPO 应用于选定的组（筛选）”。

?IT 要求：获取域中的管理所有者以及企业的域和 OU 管理标准的列表。这样，您便可以制订正确的委派计划并确保正确继承组策略。

备注

组策略取决于网络、安全和 Active Directory；因此，了解这些技术是至关重要的。强烈建议先熟悉这些概念，然后再实现组策略。

组策略的管理要求

若要使用组策略，您的组织必须使用 Active Directory，并且目标桌面和服务器计算机必须运行Windows Server 2008、Windows Vista、Windows Server 2003 或 Windows XP。

默认情况下，只有 Domain Admins 或 Enterprise Admins 组的成员能够创建和链接 GPO，但您可以将此任务委派给其他用户。有关组策略管理要求的详细信息，请参阅本指南后面部分中的委派组策略管理。

GPMC

GPMC 跨组织的多个林以统一的方式管理组策略的各个方面。可以使用 GPMC 管理网络中的所有GPO、Windows Management Instrumentation (WMI) 筛选器以及与组策略有关的权限。可以将 GPMC 视为主要的组策略访问点，GPMC 界面中提供了所有组策略管理工具。

GPMC 包含一组用于管理组策略的可编脚本界面以及一个基于 MMC 的用户界面 (UI)。Windows Server 2008 附带提供了 32 位和 64 位版本的 GPMC。

GPMC 提供了以下功能：

?导入和导出 GPO。

?复制和粘贴 GPO。

?备份和还原 GPO。

?搜索现有的 GPO。

?报告功能。

?组策略建模。用于模拟策略的结果集 (RsoP) 数据以规划组策略部署，然后再在生产环境中实现组策略。

?组策略结果。用于获取 RSoP 数据以查看 GPO 交互和解决组策略部署问题。

?支持迁移表以便于跨域和林导入和复制 GPO。迁移表是一个文件，可以将对源 GPO 中的用户、组、计算机和通用命名约定 (UNC) 路径的引用映射到目标 GPO 中的新值。

?在 HTML 报告中报告 GPO 设置和 RSoP 数据，您可以保存和打印这些报告。

?可编脚本的界面，可以在其中执行 GPMC 中提供的所有操作。不过，无法使用脚本编辑 GPO 中的各个策略设置。

备注

Windows Server 2008 不包含 GPMC 早期版本提供的 GPMC 示例脚本。不过，您可以从组策略管理控制台示例脚本（可能为英文网页）中下载适用于 Windows Server 2008 的 GPMC 示例脚本。有关使用 GPMC 示例脚本的详细信息，请参阅本指南后面部分中的使用脚本管理组策略。

使用 GPMC 可大大提高组策略部署的可管理性；由于它提供了改进且简化的组策略管理界面，您可以充分利用组策略的强大功能。

设计支持组策略的 OU 结构

在 Active Directory 环境中，可通过将 GPO 链接到站点、域或 OU 来分配组策略设置。通常，大多数 GPO 是在 OU 级别分配的，因此，请确保 OU 结构支持基于组策略的客户端管理策略。您还可以在域级别应用某些组策略设置，尤其是密码策略等设置。只有很少的策略设置是在站点级别应用的。设计完善的 OU 结构可反映组织的管理结构并利用 GPO 继承，这种结构可以简化组策略的应用过程。例如，设计完善的 OU 结构可防止复制某些 GPO，以便将这些 GPO 应用于组织的不同部分。如果可能，请创建 OU 以委派管理权限和帮助实现组策略。

OU 设计要求综合考虑独立于组策略需求委派管理权限的要求以及组策略需应用范围需求。以下 OU 设计建议解决了委派和作用域问题：

?委派管理权限：可以在域中创建 OU，并将对特定 OU 的管理控制委派给特定用户或组。OU 结构可能会受委派管理权限的要求的影响。

?应用组策略：在设计 OU 结构时，应主要考虑要管理的对象。您可能需要创建一种结构，按靠近顶级的工作站、服务器和用户组织 OU。根据您的管理模型，您可以将基于地理位置的 OU 视为其他 OU 的子或父 OU，然后为每个位置复制这种结构以避免在不同的站点中进行复制。

只有在以下情况下才能在下面添加 OU：这种做可使组策略应用更清晰，或者您需要在这些级别下面委派管理。

通过使用 OU 包含同类对象（如用户或计算机对象，但不能同时包含两者）的结构，您可以轻松禁用 GPO 中不应用于特定类型对象的部分。图 1 中说明的 OU 设计方法降低了复杂性，并提高了组策略的应用速度。请记住，链接到高层 OU 结构的 GPO 是默认继承的，因而不需要将 GPO 复制或链接到多个容器。

在设计 Active Directory 结构时，最重要的注意事项是简化管理和委派过程。

将组策略应用于新用户和计算机帐户

默认情况下，新用户和计算机帐户是在 CN=Users 和 CN=Computers 容器中创建的。无法将组策略直接应用于这些容器，但它们会继承链接到域的 GPO。若要将组策略应用于默认 Users 和Computers 容器，您必须使用新的 Redirusr.exe 和 Redircomp.exe 工具。

Redirusr.exe（用于用户帐户）和 Redircomp.exe（用于计算机帐户）是 Windows Server 2008 附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置，以便更轻松地为新创建的用户和计算机对象直接指定 GPO 作用域。这些工具位于%windir%\system32中包含Active Directory 服务角色的服务器上。

通过为每个域运行一次 Redirusr.exe 和 Redircomp.exe，域管理员可以指定在创建所有新用户和计算机帐户时将其放置到的 OU。这样，管理员就可以使用组策略管理这些未分配的帐户，然后再将其分配给最终放置这些帐户的 OU。请考虑使用组策略提高新用户和计算机帐户的安全性，以限制用于这些帐户的 OU。

有关重定向用户和计算机帐户的详细信息，请参阅 Microsoft 知识库中的文章324949“在Windows Server 2003 域中重定向用户和计算机容

器”(https://www.360docs.net/doc/c21394408.html,/fwlink/?LinkId=100759)。

站点和复制注意事项

在确定适合的策略设置时，请注意 Active Directory 的物理特性，其中包括站点的地理位置、域控制器的物理位置以及复制速度。

GPO 存储在 Active Directory 和每个域控制器上的 Sysvol 文件夹中。这些位置具有不同的复制机制。如果怀疑可能未在域控制器中复制 GPO，请使用 Resource Kit 工具组策略对象(Gpotool.exe) 帮助诊断问题。

有关 Gpotool.exe 的详细信息，请参阅“Microsoft 帮助和支

持”(https://www.360docs.net/doc/c21394408.html,/fwlink/?LinkId=109283)。若要下载 Windows Server 2008 Resource Kit 工具，请参阅 Microsoft 下载中心上的“Window s Server 2008 Resource Kit 工具”(https://www.360docs.net/doc/c21394408.html,/fwlink/?LinkId=4544)（可能为英文网页）。

如果出现慢速链接问题（通常是到远程站点的客户端的链接），问题可能出在域控制器位置上。如果客户端和验证域控制器之间的网络链接速度低于默认慢速链接阈值 500 千比特/秒，则仅默认应用管理模板（基于注册表）设置、新无线策略扩展和安全设置。不会默认应用所有其他组策略设置。不过，您可以使用组策略修改此行为。

可以使用组策略慢速链接检测策略，为 GPO 中的用户和计算机内容更改慢速链接阈值。如有必要，您还可以调整在慢速链接阈值以下处理的组策略扩展。甚至可以根据需要，将本地域控制器放在远程位置以满足您的管理需要。

符合服务级别协议

某些 IT 组使用服务级别协议来指定应运行的服务。例如，服务级别协议可能规定了计算机启动和登录所需的最长时间、在用户登录多长时间后才能使用计算机，等等。服务级别协议通常会设置服务响应标准。例如，服务级别协议可能定义了允许用户接收新软件应用程序或访问以前禁用的功能的时间长度。可能会影响服务响应的问题有：站点和复制拓扑、域控制器位置以及组策略管理员位置。

若要缩短处理 GPO 所需的时间，请考虑使用下面的某种策略：

?如果 GPO 仅包含计算机配置或用户配置设置，请禁用不适用的策略设置部分。在执行此操作后，目标计算机不会扫描禁用的 GPO 部分，从而缩短了处理时间。有关禁用 GPO 的某些部分的信息，请参阅本指南后面的禁用 GPO 中的用户配置或计算机配置设置。

?如果可能，请将一些较小的 GPO 合并为一个 GPO。这可减少应用于用户或计算机的 GPO 数量。通过将较少的 GPO 应用于用户或计算机，可以缩短启动或登录时间，并且可以更轻松地解决策略结构问题。

?对 GPO 所做的更改将复制到域控制器中，并导致将新的内容下载到客户端或目标计算机上。

如果需要经常更改很大或很复杂的 GPO，请考虑创建一个新 GPO，其中仅包含定期更新的部分。请测试这种方法以确定最大限度减少对网络的影响和缩短目标计算机的处理时间能带来多大好处，而使 GPO 结构变得更复杂而容易出现故障的可能性有多大，是否利大于弊。

?您应该实现组策略更改控制过程，并记录对 GPO 所做的任何更改。这可能有助于解决和纠正出现的 GPO 问题。这种做还有助于满足要求保留日志的服务级别协议的要求。请考虑使用 AGPM 来实现 GPO 更改控制过程和管理 GPO。

定义组策略目标

在规划组策略部署时，请确定具体的业务要求以及组策略如何帮助实现这些要求。然后，您可以确定最适合的策略设置和配置选项以满足您的要求。

每个组策略实现的目标因用户位置、工作需要、计算机体验和企业安全要求而异。在某些情况下，您可能会从用户的计算机中删除一些功能以防止其修改系统配置文件（这可能会中断计算机运行），或者删除并非用户工作时必不可少的应用程序。在其他情况下，您可能会使用组策略配置操作系统选项、指定 Internet Explorer 设置或制订安全策略。

清楚地了解当前的组织环境和要求有助于设计出最符合组织需要的计划。应收集有关用户类型（操作工人和数据输入员）以及现有和计划的计算机配置的的信息，这一点至关重要。您可以根据这些信息来定义组策略目标。

评估现有的企业行为准则

为帮助您确定要使用的适合组策略设置，请先评估企业环境中的当前行为准则，其中包括如下因素：

?各种类型的用户的用户要求。

?当前 IT 角色，如划分到不同管理员组的各种管理任务。

?现有的企业安全策略。

?服务器和客户端计算机的其他安全要求。

?软件分发模型。

?网络配置。

?数据存储位置和步骤。

?当前的用户和计算机管理。

定义组策略目标

接下来，请确定以下内容（作为定义组策略目标的一部分）：

?每个 GPO 的用途。

?每个 GPO 的所有者—请求策略设置并负责进行维护的人。

?要使用的 GPO 数量。

?要链接每个 GPO 的相应容器（站点、域或 OU）。

?每个 GPO 中包含的策略设置类型以及用户和计算机的相应策略设置。

?何时设置组策略默认处理顺序的例外情况。

?何时设置组策略的筛选选项。

?要安装的软件应用程序及其位置。

?用于重定向文件夹的网络共享。

?要运行的登录、注销、启动和关机脚本的位置

规划持续的组策略管理

在设计和实现组策略解决方案时，规划持续的组策略管理也是非常重要的。通过确定管理步骤以跟踪和管理 GPO，可以确保按预定方式实现所有更改。

若要简化和控制持续的组策略管理，我们建议您：

?始终使用以下预部署过程暂存组策略部署：

o使用组策略建模了解新 GPO 如何与现有 GPO 进行交互。

o在模拟生产环境的测试环境中部署新 GPO。

o使用组策略结果了解在测试环境中实际应用的 GPO 设置。

?使用 GPMC 定期备份 GPO。

?使用 GPMC 在组织中管理组策略。

?除非必要，否则不要修改默认域策略或默认域控制器策略。相反，应在域级别创建新的 GPO，并对其进行设置以覆盖默认策略设置。

?为 GPO 定义有意义的命名约定，以清楚地说明每个 GPO 的用途。

?仅为每个 GPO 委派一个管理员。这可防止一个管理员的工作被另一个管理员的工作所覆盖。

在 Windows Server 2008 和 GPMC 中，您可以将编辑和链接 GPO 的权限委派给不同的管理员组。如果未确定适合的 GPO 控制步骤，委派的管理员可能具有重复的 GPO 设置，或者创建的 GPO 与另一个管理员设置的策略设置发生冲突或不符合企业标准。这些冲突可能会对用户的桌面环境产生不利影响，增加拨打的支持电话次数并且更难解决 GPO 问题。

确定互操作性问题

在混合环境中规划组策略实现时，您需要考虑可能出现的互操作性问题。Windows Server 2008 和Windows Vista 包含很多新组策略设置，Windows Server 2003 或 Windows XP 中不使用这些设置。不过，即使组织中的客户端和服务器计算机主要运行的是 Windows Server 2003 或 Windows XP，您也应该使用 Windows Server 2008 中包含的 GPMC，因为它包含最新的策略设置。如果将包含较新策略设置的 GPO 应用于不支持该策略设置的以前操作系统，并不会出现问题。

运行 Windows Server 2003 或 Windows XP Professional 的目标计算机直接忽略仅在 Windows Server 2008 或 Windows Vista 中支持的策略设置。若要确定将哪些策略设置应用于哪些操作系统，请在策略设置说明中查看“支持的平台”信息，它说明了哪些操作系统可以读取该策略设置。

确定何时应用组策略更改

由于对 GPO 的更改必须先复制到相应的域控制器中，因此可能不会在用户桌面上立即应用对组策略设置的更改。此外，客户端使用 90 分钟刷新周期（随机偏差最多约为 30 分钟）来检索组策略。因此，很少会立即应用更改的组策略设置。GPO 组件存储在 Active Directory 和域控制器的Sysvol 文件夹中。将 GPO 复制到其他域控制器是由两个独立机制完成的：

?Active Directory 中的复制是由 Active Directory 的内置复制系统控制的。默认情况下，在同一站点的域控制器之间复制时，通常需要不到一分钟的时间。如果您的网络速度比 LAN 慢，此过程可能会较慢。

?Sysvol 文件夹复制是由文件复制服务 (FRS) 或分布式文件系统复制 (DFSR) 控制的。在站点中，每 15 分钟进行一次 FRS 复制。如果域控制器位于不同的站点中，则会按设置的间隔根据站点拓扑和复制计划执行复制过程；最低间隔为 15 分钟。

备注

如果务必为特定站点中的特定用户或计算机组立即应用更改，您可以连接到与这些对象最接近的域控制器，然后在该域控制器上进行配置更改，以使这些用户最先获得更新的策略设置。

策略刷新间隔

刷新组策略的主要机制是启动和登录。还会定期按其他间隔刷新组策略。策略刷新间隔影响应用GPO 更改的速度。默认情况下，运行 Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP 的客户端和服务器每 90 分钟检查一次 GPO 更改，随机偏差最多为 30 分钟。

运行 Windows Server 2008 或 Windows Server 2003 的域控制器将每 5 分钟检查一次计算机策略更改。可以使用以下某种策略设置更改该轮询频率：“计算机的组策略刷新间隔”、“域控制器组的组策略刷新间隔”或“用户的组策略刷新间隔”。不过，建议不要缩短刷新间隔时间，因为这可能会增加网络通信量并在域控制器上产生额外的负载。

触发组策略刷新

如有必要，您可以从本地计算机中手动触发组策略刷新，而无需等待执行自动后台刷新。为此，您可以在命令行中键入gpupdate以刷新用户或计算机策略设置。无法使用 GPMC 触发组策略刷新。gpupdate将在运行该命令的本地计算机上触发后台策略刷新。

有关gpupdate命令的详细信息，请参阅本指南后面的更改组策略刷新间隔。

备注

某些策略设置（如文件夹重定向和软件应用程序分配）要求用户注销并重新登录，然后这些设置才会生效。只有在重新启动计算机后，才会安装分配给计算机的软件应用程序。

确定与软件安装有关的问题

虽然可以使用组策略安装软件应用程序（尤其是小型或中型组织），但您需要确定它是否为最符合组织需要的解决方案。在使用组策略安装软件应用程序时，只有在重新启动计算机或用户登录后，才会安装或更新分配的应用程序。

使用 System Center Configuration Manager 2007（以前称为 Systems Management Server (SMS)）部署软件可提供基于组策略的软件部署中没有的企业级功能，例如，基于清单确定目标、状态报告和计划。因此，您可以使用组策略配置桌面和设置系统安全和访问权限，但使用 Configuration Manager 传送软件应用程序。这种方法允许将应用程序安装安排在非核心工作时间进行，从而提供了带宽控制。

具体选择哪些工具取决于您的要求、您的环境以及是否需要使用 Configuration Manager 提供的附加功能和安全性。有关 Configuration Manager 的信息，请参阅 System Center Configuration Manager (https://www.360docs.net/doc/c21394408.html,/fwlink/?LinkId=109285)（可能为英文网页）。

设计组策略模型

您的主要目标是，根据业务要求设计 GPO 结构。应牢记组织中的计算机和用户，并确定必须在组织中强制实施的策略设置以及适用于所有用户或计算机的策略设置。还要根据类型、功能或工作角色确定用于配置计算机或用户的策略设置。然后，将这些不同类型的策略设置划分到 GPO 中，并将其链接到相应的 Active Directory 容器。

还要牢记组策略继承模型以及确定优先级的方式。默认情况下，较低级别的所有 OU 将继承链接到较高级别 Active Directory 站点、域和 OU 的 GPO 中设置的选项。不过，在较低级别链接的 GPO 可能会覆盖继承的策略。

例如，您可能会使用在较高级别链接的 GPO 来分配标准桌面墙纸，但希望使用某种 OU 获取不同的墙纸。为此，您可以将第二个 GPO 链接到该特定较低级别 OU。由于较低级别 GPO 是最后应用的，因此，第二个 GPO 将覆盖域级 GPO，并为该特定较低级别 OU 提供一组不同的组策略设置。不过，您可以使用“阻止继承”和“强制”修改这种默认继承行为。

以下准则可帮助定制组策略设计以满足组织的需要：

?确定是否必须为特定的用户或计算机组强制实施任何策略设置。请创建包含这些策略设置的GPO，将其链接到相应的站点、域或 OU，然后将这些链接指定为“强制”。通过设置该选项，您可以强制实施较高级别 GPO 的策略设置，以防止较低级别 Active Directory 容器中的GPO 覆盖这些设置。例如，如果在域级别定义一个特定的 GPO 并指定强制实施该 GPO，该GPO 包含的策略将应用于该域下面的所有 OU；链接到较低级别 OU 的 GPO 无法覆盖该域组策略。

备注

应慎用“强制”和“阻止策略继承”功能。如果经常使用这些功能，可能会导致很难解决策略问题，因为其他 GPO 的管理员不容易弄清楚为什么应用了或未应用某些策略设置。

?确定哪些策略设置适用于整个组织，并考虑将这些设置链接到域上。还可以使用 GPMC 复制GPO 或导入 GPO 策略设置，从而在不同的域中创建相同的 GPO。

?将 GPO 链接到 OU 结构（或站点），然后使用安全组有选择地将这些 GPO 应用于特定用户或计算机。

?对组织中的计算机类型和用户的角色或工作职能进行分类，将它们划分到 OU 中，创建 GPO 以便根据需要为每个 OU 配置环境，然后将 GPO 链接到这些 OU。

?准备暂存环境以测试基于组策略的管理策略，然后再将 GPO 部署到生产环境中。应将此阶段视为暂存您的部署。这是一个关键步骤，有助于确保组策略部署满足您的管理目标的要求。

本指南后面的暂存组策略部署中介绍了该过程。

定义组策略的应用范围

若要定义 GPO 的应用范围，请考虑以下问题：

?要将 GPO 链接到什么地方？

?将使用 GPO 上的哪种安全筛选？

通过使用安全筛选，您可以优化哪些用户和计算机将接收并应用 GPO 中的策略设置。安全组筛选可以确定是将 GPO 统一应用于组、应用于用户还是应用于计算机；无法有选择地对GPO 中的不同策略设置使用安全组筛选。

?将应用哪些 WMI 筛选器？

通过使用 WMI 筛选器，您可以根据目标计算机的属性动态确定 GPO 作用域。

还要记住将默认继承 GPO，GPO 是累积性的，它影响 Active Directory 容器及其子容器中的所有计算机和用户。其处理顺序如下所示：本地组策略、站点、域和 OU，最后处理的 GPO 将覆盖先前的 GPO。默认继承方法是，评估从离计算机或用户对象最远的 Active Directory 容器开始的组策略。离计算机或用户最近的 Active Directory 容器将覆盖较高级别 Active Directory 容器中设置的组策略，除非为该 GPO 链接设置了“强制（禁止替代）”选项，或者已将“阻止策略继承”

策略设置应用于域或 OU。将先处理 LGPO，因此，链接到 Active Directory 容器的 GPO 中的策略设置将覆盖本地策略设置。

另一个问题是，虽然可以将多个 GPO 链接到一个 Active Directory 容器上，但需要注意处理优先级。默认情况下，优先处理“组策略对象链接”列表（显示在 GPMC 的“链接的组策略对象”选项卡中）中链接顺序最低的 GPO 链接。不过，如果一个或多个 GPO 链接设置了“强制”选项，则设置为“强制”的最高 GPO 链接优先。

简单地说，“强制”是一个链接属性，“阻止策略继承”是一个容器属性。“强制”优先于“阻止策略继承”。此外，还可以使用四种其他方式禁用 GPO 本身的策略设置：可以禁用 GPO，GPO 可以禁用其计算机设置，禁用其用户设置或禁用其所有设置。

GPMC 大大简化了这些任务，您可以通过它查看组织中的 GPO 继承，并从某个 MMC 控制台中管理链接。图 2 说明了 GPMC 中显示的组策略继承。

备注

若要查看到域、站点或 OU 的 GPO 链接的继承和优先级的完整详细信息，您必须具有包含 GPO 链接的站点、域或 OU 以及 GPO 的读取权限。如果您具有站点、域或 OU 的读取访问权限，但没有

链接到此处的某个 GPO 的读取访问权限，该 GPO 将显示为“不可访问的GPO”，您无法读取该GPO 的名称或其他信息。

确定所需的 GPO 数量

所需的 GPO 数量取决于设计方法、环境复杂性、目标以及项目范围。如果某个林中包含多个域或者有多个林，您可能会发现每个域中所需的 GPO 数量是不同的。与较小且比较简单的域相比，支持非常复杂的业务环境的域（具有不同的用户数量）通常需要更多的 GPO。

随着支持组织所需的 GPO 数量的增加，组策略管理员的工作量也会有所增加。可以采取一些措施来简化组策略管理。通常，如果某些策略设置应用于一组给定的用户或计算机，并由一组常用的管理员进行管理，则应将其划分到单个 GPO 中。再者，如果不同的用户或计算机组具有相同要求，并且只有几个组需要进行增量更改，请考虑使用链接到 Active Directory 结构中的较高级别的单个 GPO，将这些相同要求应用于所有这些用户或计算机组中。然后，再添加几个额外的 GPO，以便仅在相关 OU 中应用增量更改。可能并非始终能够使用这种方法，这种方法也并非始终有效，因此，您可能需要指定该准则的例外情况。如果是这种情况，请确保对其进行跟踪。

备注

最多支持使用 999 个 GPO 来处理任一用户或计算机上的 GPO。如果超过最大数，将无法再处理GPO。此限制仅影响相同应用的 GPO 数量；它不影响可以在域中创建和存储的 GPO 数量。

应考虑到应用于计算机的 GPO 数量会影响启动时间，应用于用户的 GPO 数量会影响登录到网络上所需的时间。链接到用户的 GPO 数量越大（尤其是这些 GPO 中的策略设置数量越大），用户登录时处理这些 GPO 所需的时间就越长。在登录过程中，只要为用户设置了“读取”和“应用组策略”权限，就会应用用户站点、域和 OU 层次结构中的每个 GPO。在 GPMC 中，“读取”和“应用组策略”权限是作为一个单位（称为安全筛选）进行管理的。

如果使用安全筛选并删除给定用户或组的“应用组策略”权限，则还会删除读取权限，除非由于某些原因要求该用户具有读取访问权限。（如果使用的是 GPMC，则不必担心这种情况，因为 GPMC 自动执行此操作。）如果未设置“应用组策略”权限，但设置了“读取”权限，GPO 链接到的 OU 层次结构中的任何用户或计算机仍会检查（但不应用）GPO。这种检查过程略微增加登录时间。

始终在测试环境中测试组策略解决方案，以确保所定义的策略设置不会过度延长显示登录屏幕所需的时间，并且这些设置符合桌面服务级别协议。在该暂存阶段，使用测试帐户登录以测定几个 GPO 对环境中的对象的实际影响。

链接 GPO

若要将 GPO 的策略设置应用于用户和计算机，您需要将 GPO 链接到站点、域或 OU。可以使用 GPMC 添加一个或多个到每个站点、域或 OU 的 GPO 链接。请记住，创建和链接 GPO 是一个敏感权限，只应将该权限委派给值得信任且了解组策略的管理员。

将 GPO 链接到站点

如果将一些策略设置（如某些网络或代理配置设置）应用于特定物理位置中的计算机，则可能只有这些策略设置适于添加到基于站点的策略设置中。由于站点和域是独立的，因此，站点中的计算机可能需要跨域将 GPO 链接到站点上。在这种情况下，请确保连接状况良好。

如果策略设置并不明确对应于单个站点中的计算机，则最好将 GPO 分配给域或 OU 结构，而不是分配给站点。

将 GPO 链接到域

如果要将 GPO 应用于域中的所有用户和计算机，请将 GPO 链接到该域上。例如，安全管理员通常实现基于域的 GPO 以强制实施企业标准。他们可能需要这些 GPO 并启用 GPMC“强制”选项，以确保其他管理员无法覆盖这些策略设置。

重要事项

如果需要修改默认域策略 GPO 中包含的策略设置，我们建议您创建新的 GPO 实现此目的，将其链接到域上，然后设置“强制”选项。通常，不要修改默认域策略 GPO 或默认域控制器策略 GPO。

顾名思义，默认域策略 GPO 也会链接到域上。默认域策略 GPO 是在安装域中的第一个域控制器以及管理员第一次登录时创建的。该 GPO 包含域范围的帐户策略设置、密码策略、帐户锁定策略以及 Kerberos 策略，它是由域中的域控制器强制实施的。所有域控制器从默认域策略 GPO 中检索这些帐户策略设置的值。要将帐户策略应用于域帐户，必须在链接到域的 GPO 中部署这些策略设置。如果在较低级别（如 OU）设置帐户策略设置，这些策略设置仅影响该 OU 和子 OU 中的计算机上的本地帐户（非域帐户）。

在对默认 GPO 进行任何更改之前，请确保使用 GPMC 备份 GPO。如果默认 GPO 更改出现问题，并且无法恢复到以前或初始状态，您可以使用下一节中介绍的 Dcgpofix.exe 工具重新创建初始状态的默认策略。或者，如果使用的是 AGPM，将保留所做的任何更改的记录，因此，您可以恢复到以前或初始状态。

还原默认域策略 GPO 和默认域控制器 GPO

Dcgpofix.exe 是一个命令行工具，在发生灾难而无法使用 GPMC 时，可以使用该工具将默认域策略 GPO 和默认域控制器 GPO 完全还原为原始状态。Dcgpofix.exe 是 Windows Server 2008 和Windows Server 2003 附带提供的，它位于 C:\Windows\system32\ 文件夹中。

Dcgpofix.exe 仅还原生成默认 GPO 时其中包含的策略设置。Dcgpofix.exe 不还原管理员创建的其他 GPO；它仅用于默认 GPO 灾难恢复。

备注

Dcgpofix.exe 不保存通过应用程序（如 Configuration Manager 或 Exchange）创建的任何信息。Dcgpofix.exe 语法如下所示：

复制

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

表 1 说明了在使用 Dcgpofix.exe 工具时可以使用的命令行选项。

表 1 Dcgpofix.exe 命令行选项

选项选项说明

/ignoreschema 默认情况下，Windows Server 2008 附带提供的 Dcgpofix 版本仅适用于Windows Server 2008 域。此选项将绕过架构检查，以允许其在非 Windows Server 2008 域上工作。

/target:DOMAIN

或

指定应重新创建默认域策略。

/target:DC 或指定应重新创建默认域控制器策略。

/target:BOTH 指定应重新创建默认域策略和默认域控制器策略。

有关 Dcgpofix.exe 的详细信息，请参阅 Dcgpofix.exe

(https://www.360docs.net/doc/c21394408.html,/fwlink/?LinkId=109291)（可能为英文网页）。

将 GPO 链接到 OU 结构

GPO 通常链接到 OU 结构，因为这可提供最大的灵活性和可管理性。例如：

?您可以将用户和计算机移入或移出 OU。

?如有必要，可以重新排列 OU。

?您可以使用一些具有相同管理要求的较小用户组。

?您可以根据管理用户和计算机的管理员对其进行组织。

通过将 GPO 划分为面向用户的 GPO 和面向计算机的 GPO，有助于使组策略环境更易于理解，并且可以简化故障排除过程。不过，要将用户和计算机组件拆分为单独的 GPO，您可能需要使用更多的GPO。一种补救措施是，配置“GPO 状态”设置以禁用不应用的 GPO 用户或计算机配置部分，并缩短应用给定 GPO 所需的时间。

更改 GPO 链接顺序

在每个站点、域和 OU 中，链接顺序控制应用 GPO 的顺序。若要更改链接优先级，您可以更改链接顺序，即，将列表中的每个链接向上或向下移动到相应位置。对于给定站点、域或 OU，编号最小的链接具有最高的优先级。

例如，如果添加 6 个 GPO 链接，并随后决定要为添加的最后一个链接指定最高优先级，您可以调整 GPO 链接的链接顺序，以使该链接的链接顺序为 1。若要更改站点、域或 OU 的 GPO 链接的链接顺序，请使用 GPMC。

使用安全筛选将 GPO 应用于选定的组

默认情况下，GPO 影响链接的站点、域或 OU 中包含的所有用户和计算机。不过，您可以在 GPO 上使用安全筛选以修改其效果：通过修改 GPO 权限仅将其应用于特定用户、Active Directory 安全组成员或计算机。通过将安全筛选和 OU 中的相应位置相结合，您可以将任何一组给定的用户或计算机作为目标。

要将 GPO 应用于给定用户、安全组或计算机，该用户、组或计算机必须具有 GPO 的“读取”和“应用组策略”权限。默认情况下，“经过身份验证的用户”将“读取”和“应用组策略”权限设置为“允许”。这两个权限是作为一个单位使用 GPMC 中的安全筛选进行管理的。

若要设置给定 GPO 的权限，以便仅将 GPO 应用于特定用户、安全组或计算机（而不是应用于所有经过身份验证的用户），请在 GPMC 控制台树中包含该 GPO 的林和域中展开“组策略对象”。单击该 GPO，然后在细节窗格的“作用域”选项卡上的“安全筛选”下面，删除“经过身份验证的用户”，单击“添加”，然后添加新的用户、组或计算机。

例如，如果仅希望 OU 中的一部分用户接收 GPO，请从“安全筛选”中删除“经过身份验证的用户”。然后，添加一个具有安全筛选权限的新安全组，其中包含要接收 GPO 的那些用户。仅位于 GPO 链接到的站点、域或 OU 中的该组成员能够接收 GPO；位于其他站点、域或 OU 中的组成员不会接收 GPO。

您可能需要禁止将某些组策略设置应用于 Administrators 组成员。若要完成此操作，您可以执行以下操作之一：

?为管理员创建一个单独的 OU，并将该 OU 放在应用了大多数管理设置的层次结构以外。这样，管理员就不会接收为管理的用户提供的大多数策略设置。如果该单独 OU 是域的直接子域，则管理员只能接收链接到域或站点的 GPO 中的策略设置。通常，仅在此处链接广泛适用的常规策略设置，因此，让管理员接收这些策略设置是可以接受的。如果不希望管理员接收这些设置，您可以在管理员的 OU 上设置“阻止继承”选项。

?仅在执行管理任务时让管理员使用单独的管理帐户。在不执行管理任务时，仍会对管理员进行管理。

?在 GPMC 中使用安全筛选，以便只有非管理员能够接收策略设置。

应用 WMI 筛选器

可以使用 WMI 筛选器来控制如何应用 GPO。每个 GPO 可以链接到一个 WMI 筛选器上；但同一 WMI 筛选器可以链接到多个 GPO 上。在将 WMI 筛选器链接到 GPO 之前，您必须先创建该筛选器。在处理组策略期间，将在目标计算机上评估 WMI 筛选器。只有在 WMI 筛选器评估结果为 true 时，才会应用 GPO。在基于 Windows 2000 的计算机上，将忽略 WMI 筛选器并始终应用 GPO。

备注

我们建议您将 WMI 筛选器主要用于例外情况管理。这些筛选器提供了一个强大的解决方案，以便将 GPO 应用于特定用户和计算机，但由于每次处理组策略时都会评估 WMI 筛选器，这会增加启动和登录时间。另外，WMI 筛选器没有超时。因此，只有在必要时才能使用这些筛选器。

通过使用 GPMC，您可以为 WMI 筛选器执行下列操作：创建和删除、链接和取消链接、复制和粘贴、导入和导出以及查看和编辑属性。

只有在域中至少有一个域控制器运行的是 Windows Server 2008 或 Windows Server 2003，或者在该域中使用 /Domainprep 选项运行了 ADPrep 时，才能使用 WMI 筛选器。否则，GPO 的“作用域”选项卡上的“WMI 筛选”部分以及该域下面的“WMI 筛选器”节点不存在。请参阅图 3 以帮助您确定本节中介绍的内容。

设置 WMI 筛选选项

WMI 将显示目标计算机中的管理数据。该数据可能包括硬件和软件清单、设置以及配置信息，其中包括注册表、驱动程序、文件系统、Active Directory、SNMP、Windows 安装程序以及网络中的数据。管理员可以创建 WMI 筛选器以控制是否应用 GPO，这些筛选器包含一个或多个基于此数据的查询。将在目标计算机上评估筛选器。如果 WMI 筛选器评估结果为 true，则会将 GPO 应用于该目标计算机；如果筛选器评估结果为 false，则不会应用 GPO。在基于 Windows 2000 的客户端或服务器目标上，将忽略 WMI 筛选器并始终应用 GPO。如果没有任何 WMI 筛选器，则始终应用 GPO。

可以使用 WMI 筛选器，根据各种对象和其他参数来确定组策略设置的目标。表 2 说明了可以为WMI 筛选器指定的示例查询条件。

表 2 示例 WMI 筛选器

查询的 WMI 数据示例查询条件

服务运行 DHCP 服务的计算机

注册表填充了指定注册表项的计算机

Windows 事件日志最后五分钟报告审核事件的计算机

操作系统版本运行 Windows Server 2003 和更高版本的计算机

硬件清单具有 Pentium III 处理器的计算机

硬件配置在级别 3 启用网络适配器的计算机

服务关联具有任何依赖于 SQL 服务的服务的计算机

WMI 筛选器包含一个或多个 WMI 查询语言 (WQL) 查询。WMI 筛选器应用于 GPO 中的每个策略设置，因此，如果管理员要为不同策略设置指定不同的筛选要求，则必须创建单独的 GPO。在基于安全组成员身份确定并筛选可能的 GPO 列表后，将在目标计算机上评估 WMI 筛选器。

虽然可以将基于组策略的软件部署与 WMI 筛选器相结合来执行有限的基于清单的软件部署目标设置，但建议不要将其作为通常的作法，原因如下：

?每个 GPO 只能有一个 WMI 筛选器。如果应用程序具有不同的清单要求，则您需要多个 WMI 筛选器，因而需要多个 GPO。增加 GPO 数量会影响启动和登录时间，并且还会增加管理开销。

?WMI 筛选器评估可能需要很长时间才能完成，因此，它们可能会延长登录和启动时间。具体需要多少时间取决于查询结构。

示例 WMI 筛选器

如上所述，WMI 筛选器非常适于作为例外情况管理工具。通过按照特定条件进行筛选，您可以将特定 GPO 的目标指定为仅限特定的用户和计算机。下一节介绍了 WMI 筛选器以说明这一技术。

基于操作系统的目标设置

在本示例中，管理员要部署一个企业监视策略，但希望仅将基于 Windows Vista 的计算机作为目标。管理员可以创建如下 WMI 筛选器：

复制

Select * from Win32_OperatingSystem where Caption like "%Vista%"

大多数 WMI 筛选器使用Root\CimV2命名空间；默认情况下，将在 GPMC 用户界面中填充此选项。

由于在基于 Windows 2000 的计算机上忽略 WMI 筛选器，因此，在这些计算机上始终应用筛选的GPO。不过，您可以使用以下方法解决该问题：使用两个 GPO，并为具有 Windows 2000 设置的 GPO 指定较高的优先级（通过使用链接顺序）。然后，使用 WMI 筛选器筛选该 Windows 2000 GPO，并且仅在操作系统是 Windows 2000（而不是 Windows Vista 或 Windows XP）时才应用该筛选器。基于 Windows 2000 的计算机将接收 Windows 2000 GPO 并覆盖 Windows Vista 或 Windows XP GPO 中的策略设置。Windows Vista 或 Windows XP 客户端将接收 Windows Vista 或 Windows XP GPO 中的所有策略设置。

基于硬件清单的目标设置

在本示例中，管理员希望仅将新网络连接管理器工具分发到具有调制解调器的桌面。管理员可以使用以下 WMI 筛选器，将这些桌面指定为目标以部署该程序包：

复制

Select * from Win32_POTSModem Where Name = " MyModem"

如果将组策略与 WMI 筛选器一起使用，请记住 WMI 筛选器应用于 GPO 中的所有策略设置。如果不同部署具有不同的要求，则需要使用不同的 GPO，每个 GPO 具有其自己的 WMI 筛选器。

基于配置的目标设置

在本示例中，管理员不希望在支持多播的计算机上应用 GPO。管理员可以使用以下筛选器确定支持多播的计算机：

复制

Select * from Win32_NetworkProtocol where SupportsMulticasting = true

基于磁盘空间数量和文件系统类型的目标设置

在本示例中，管理员希望将 C、D 或 E 分区上的可用空间超过 10 兆字节 (MB) 的计算机作为目标。这些分区必须位于一个或多个本地固定磁盘中，并且它们必须运行 NTFS 文件系统。管理员可以使用以下筛选器确定满足这些条件的计算机：

复制

SELECT * FROM Win32_LogicalDisk WHERE (Name = " C:" OR Name = " D:" OR Name = " E:" ) AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = " NTFS"

在上一示例中，DriveType = 3 表示本地磁盘，FreeSpace 单位为字节（10 MB = 10,485,760 字节）。

创建 WMI 筛选器的步骤

1.在 GPMC 控制台树中，在要添加 WMI 筛选器的林和域中右键单击“WMI 筛选器”。

2.单击“新建”。

3.在“新建 WMI 筛选器”对话框中，在“名称”框中键入新 WMI 筛选器的名称，然后在“描

述”框中键入该筛选器的说明。

4.单击“添加”。

5.在“WMI 查询”对话框中，保留默认命名空间，或执行以下某种操作以指定其他命名空间：

o在“命名空间”框中，键入要用于 WMI 查询的命名空间的名称。默认值为root\CimV2。大多数情况下，您不需要更改该值。

o单击“浏览”，从列表中选择一个命名空间，然后单击“确定”。

6.在“查询”框中键入 WMI 查询，然后单击“确定”。

7.若要添加更多查询，请重复步骤 4 至 6 以添加各个查询。

8.在添加所有查询后，单击“保存”。

现在，便可以链接 WMI 筛选器了。

使用组策略继承

它通常用于定义企业标准 GPO。就本文而言，“企业标准”是指应用于组织中范围很广的一组用户的策略设置。适合定义企业标准 GPO 的示例方案是一项业务要求，它规定了：“只有经过特别授权的用户能够访问命令提示符或注册表编辑器。”在为不同用户组自定义策略设置时，组策略继承可以帮助您应用这些企业标准。

要实现此目的，一种方法是在链接到 OU（如用户帐户 OU）的 GPO（如标准用户策略 GPO）中设置“阻止访问命令提示符”和“阻止访问注册表编辑工具”策略设置。这会将这些策略设置应用于该OU 中的所有用户。然后创建一个 GPO（如管理员用户策略 GPO），以明确允许管理员访问命令提示符和注册表编辑工具。将该 GPO 链接到管理员 OU，以覆盖标准用户策略 GPO 中配置的策略设置。图 4 中说明了这种方法。

组策略应用案例探析

组策略应用案例 实验环境 BＥNET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置 １所有域用户不能随便修改背景，保证公司使用带有公司ＬOGO的统一背景。 ２. 所有域用户不能运行管理员已经限制的程序,比如计算器，画图等。 3 配置域用户所有IE的默认设定为本企业网站，保证员工打开ＩE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 ５保证域用户有关机权限,保证员工下班可以自行关机，节省公司资源。 6 关闭200３的事件跟踪，公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加ｗindoｗｓ组件，造成系统问题。 9取消自动播放,以防止插入U盘有病毒，自动运行病毒 １0 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于ＩP地址冲突造成网络混乱。

实验目的 １所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 ４所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除ｗiｎｄoｗs组件” 9 取消自动播放 １0 管理员可以使用本地连接-属性,任何域用户帐号不可使用． 实验准备 1 一人一组 2 准备两台Winｄows Serveｒ2003虚拟机(一台DC,一台成员主机） 3 实验网络环境19２.168.８．０/２4

(完整)域组策略--+域控中组策略基本设置

(完整)域组策略--+域控中组策略基本设置 编辑整理： 尊敬的读者朋友们： 这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)域组策略--+域控中组策略基本设置）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。 本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)域组策略--+域控中组策略基本设置的全部内容。

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！—-—-—gpmc.msi （工具） 使用：运行---〉gpmc。msc 如下键面： 文件夹重定向： 1。在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患!）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件: 1.给域用户基本权限（Domain user）,但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组

3.用本地用户登录机器查看！ 禁止卸载: 1。权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序"禁用

禁止使用USB： 1.工具(程序模板usb.adm),拷到C：\WINDOWS\inf\usb。adm 2. 3。 4。

Windows环境中组策略处理优先级详解

Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户（或计算机）的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息，请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的： 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理，都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理，然后是链接到其子 组织单位的GPO，依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中，可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO，它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 该顺序意味着首先会处理本地GPO，最后处理链接到计算机或用户直接所属的组织单位的GPO，它会覆盖以前GPO 中与之冲突的设置。（如果不存在冲突，则只是将以前的设置和以后的设置进行结合。） 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响： GPO 链接可以“强制”，也可以“禁用”，或者同时设置两者。默认情况下，GPO 链接既不强制也不禁用。

域组策略域控中组策略基本设置

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！-----gpmc.msi （工具） 使用：运行--->gpmc.msc 如下键面： 文件夹重定向： 1.在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患！） 2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件： 1.给域用户基本权限（Domain user），但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组 3.用本地用户登录机器查看！ 禁止卸载： 1.权限domain user + 管理模板（相当于改动注册表！！） 2.再把控制面板里的“添加删除程序”禁用 禁止使用USB: 1.工具（程序模板usb.adm）,拷到C:\WINDOWS\inf\usb.adm 3. 4. 5. 6. 7.客户端机器重启生效 禁止绿色软件安装，如：迅雷，QQ等--------建立哈希规则： 建立了哈希规则后不论此软件放在机器的任何路径，都将被禁止！ GPO软件分发： 1.工具：Advanced Installer 制作MSI格式文件 2.在DC上建立一共享文件夹。把*.MSI格式文件放入，附Authenticated 可读，Admini 完 全控制 3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名) 4.软件安装右击→程序包-→*.MSI →已发布\已指派 停止域客户端的防火墙： 右击，域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall 漫游： 1.账号在客户机上登录 2.在server上建议账号空间

2003系统域的组策略应用详解_

域网络构建教程（4）组策略 古人云：运筹帷幄之中，决胜千里之外。这大概就是用兵的最高境界了吧！作为一个生于和平年代的网络管理人员，这辈子带兵是没戏了。不过在域环境的帮助下，这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的 XP 系统上一直存在，通过在运行栏中输入 gpedit.msc 就可以启动本地计算机的组策略编辑器。截图如下： 马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器，所见即所得一直都是微软的看家本领啊。有了域环境之后，通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中，我感觉这种管理与控制几乎覆盖了使用中的方方面面，反正现在我只要在域控制器上动动手指头，就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的，有兴趣的可以在看完本文后自己实践一下（后果自负 哈）。

闲话少说，书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器，注意这里不能使用gpedit.msc（那是编辑本机策略的），而要打开“开始——程序——管理工具——Active Directory 用户和计算机”。 截图如下： 在打开的窗口中选择你的域名，并在其上右击选择属性，然后在弹出的属性对话框中选择组

策略。现在你就会看到默认域策略——Default Domain Policy，截图如下： 单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy，这样便于我们随时恢复到系统默认的设置。呵呵，留条出迷宫的路，是所有操作前的必修课。 默认的不让动，那我们怎么编辑组策略呢？答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机，注意组织单位将是一个我们经常使用的划分方式，组策略可以按层次模式很好的在其上运行，这样也便于对今后一定会日趋复杂的组策略进行有效的管理。注意这里我提到了层次模式，组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了，出了问题还便于排查错误。为了演示这种层次模式，我新建一个名为“用户和计算机”的组织单位，并将原来的两个组

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

3种用组策略将域帐号加入本地管理员组的方法

3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”

2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。 第1种方法的步骤很简单： .在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图 第2种方法：

为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下： 为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为： https://www.360docs.net/doc/c21394408.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML无需安装）：

在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组

如何设置常用组策略

如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

使用域组策略及脚本统一配置防火墙

使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置； 统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法； 1 域组策略统一配置防火墙 使用域管理员登录域控制器，打开“管理工具>组策略管理”； 在目标组织单位右击，新建GPO； 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；

选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务； 结果如下； 1.1.2 查看客户端结果 重启XP客户端查看结果

重启Win7客户端查看结果 1.2 开放客户端防火墙端口 （注：首先将上面组策略中的系统服务设置还原在进行下一步的配置） 1.2.1 域策略配置 右击目标GPO选择编辑，选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；

组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM)，它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。

域组策略应用详解

Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

Windows组策略应用大全

Windows组策略应用大全.txt9母爱是一滴甘露，亲吻干涸的泥土，它用细雨的温情，用钻石的坚毅，期待着闪着碎光的泥土的肥沃；母爱不是人生中的一个凝固点，而是一条流动的河，这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? （一）组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 （二）组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows?9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows?2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active?Directory?对象（即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1）System.adm：默认情况下安装在“组策略”中，用于系统设置。 2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet?Explorer策略设置。 3）Wmplayer.adm：用于Windows?Media?Player?设置。 4）Conf.adm：用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows?9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下：首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

Windows操作系统组策略应用全攻略

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是Config.pol)文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)System.adm：默认情况下安装在“组策略”中，用于系统设置。 2)Inetres.adm：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。

管理员操作手册 AD域控及组策略管理 CTO

AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控（DC）基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位（OU）...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位：(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象（dsmod）............................... 6、其他命令（dsquery、dsmove、dsrm）....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................

Windows系统组策略应用最新技巧

Windows系统组策略应用最新技巧 系统组策略几乎是各位网络管理人员管理网络时的必用利器之一，有关该利器的常规应用技巧，相信许多人都已经耳熟能详了。但是笔者一直认为，只要我们足够细心、用心，就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话，就来看看下面的内容吧，相信它们会帮助大家进入一个新的应用新“境界”! 巧限程序，谨防“自锁” Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目，一旦你将该项目启用，同时限制好指定的程序可以运行外，那么无论你是否在“只允许运行程序列表”中，添加了gpedit.msc命令，只要“只允许运行Windows应用程序”的组策略项目生效，系统的组策略就会自动“自锁”，即使你在超级管理员XX下使用“gpedit.msc”命令，也不能打开系统的组策略编辑窗口!那么有没有一种办法，既能限制应用程序的运行，又能防止系统组策略出现“自锁”现象呢?答案是肯定的，你可以按照如下步骤来操作: 首先依次单击“开始”/“运行”命令，在弹出的系统运行框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开系统组策略编辑窗口; 依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目，在对应“系统”项目右边的子窗口中，双击“只运行许可的Windows应用程序”选项，在其后弹出的界面中，将“已启用”选项选中。随后，你将在对应的窗口中看到“显示”按钮被自动激活，再单击“显示”按钮，然后继续单击其后窗口中的“添加”按钮，再将需要运行的应用程序名称输入在添加设置框中，最后单击“确定”按钮; 下面，请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框，并在其中执行“gpedit.msc”命令，此时你将发现系统组策略编辑程序已经无法运行了!不过，幸亏前面没有将组策略编辑窗口关闭，现在你可以继续在组策略编辑窗口中，双击刚才设置的“只允许运行Windows应用程序”项目，然后在弹出的策略设置窗口中，选中“未配置”选项，最后单击一下“确定”按钮，这样就能实现既可以限制运行应用程序的目的，又能阻止系统组策略出现“自锁”现象。

AD域组策略优先级

组策略处理和优先级 此主题尚未评级- 评价此主题 组策略处理和优先级 应用于某个用户（或计算机）的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息，请参阅以下主题启动和登录中的第 3 步和第8 步。 组策略设置是按下列顺序进行处理的： 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策 略处理，都会处理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在 组策略管理控制台(GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选 项卡内指定的。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理，然后 是链接到其子组织单位的GPO，依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 在Active Directory 层次结构的每一级组织单位中，可以链接一个、多个或不链接GPO。 如果一个组织单位链接了几个GPO，它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 该顺序意味着首先会处理本地GPO，最后处理链接到计算机或用户直接所属的组织单位的GPO，它会覆盖以前GPO 中与之冲突的设置。（如果不存在冲突，则只是将以前的设置和以后的设置进行结合。） 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响：

AD域控规划方案解析

活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。

1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处： 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展

域组策略-- 域控中组策略基本设置

域控中组策略基本设置计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！-----gpmc.msi （工具） 使用：运行--->gpmc.msc 如下键面： 文件夹重定向： 1.在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患！） 2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件： 1.给域用户基本权限（Domain user），但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组 3.用本地用户登录机器查看！ 禁止卸载： 1.权限domain user + 管理模板（相当于改动注册表！！） 2.再把控制面板里的“添加删除程序”禁用 禁止使用USB: 1.工具（程序模板usb.adm）,拷到C:\WINDOWS\inf\usb.adm 2. 3. 4. 5. 6.

7.客户端机器重启生效 禁止绿色软件安装，如：迅雷，QQ等--------建立哈希规则： 建立了哈希规则后不论此软件放在机器的任何路径，都将被禁止！ GPO软件分发： 1.工具：Advanced Installer 制作MSI 格式文件 2.在DC 上建立一共享文件夹。把*.MSI格式文件放入，附Authenticated 可读，Admini 完全控制 3.编辑组策略-用户配置-软件安装-右击\\(DC的IP\共享名) 4.软件安装右击程序包-*.MSI 已发布\已指派 停止域客户端的防火墙： 右击，域计算机-Windows-设置安全设置-系统服务windows firewall 漫游： 1.账号在客户机上登录 2.在server上建议账号空间 3.server在客户机上登 4.server上设主文件 计划检查表 日期周几复习课目时间在规定时间内是 否完成学生签 字 家长签 字 2017.11. 13 周一四小科例20：30-21:30 是（√）否（√）穆诚豪

2003 server服务器 域密码策略设置解析

网络安全https://www.360docs.net/doc/c21394408.html,/ 2003 server 域密码策略设置解析 在域控制器上的开始菜单中打开“运行”，输入DSA.MSC后回车，即打开活动目录的用户和计算机管理控制台。在域节点右键，进入属性，打开组策略选项卡，在里边找到Default Domain policy这个GPO选中他，点击下面的编辑，现在就会打开组策略编辑器，在这个组策略编辑器中找到一下路径：计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。这样你就可以创建空密码的用户帐户了（当然在这里你也可以为你的域设置你自己需要的密码策略），完成了以上设置后并没有完，还有最后一步，就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。 问题： 1、如何在WIN2003中添加用户？每次添加用户时总是提示我不符合密码策略，怎么办？答：对于2003域，默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求，且密码最小长度为7。口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。 当然也可以重新设默认域的安全策略来解决。操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略：密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”。 使此策略修改生效有如下方法： 1、等待系统自动刷新组策略，约5分钟~15分钟 2、重启域控制器（若是修改的用户策略，注销即可） 3、使用gpupdate命令。（推荐使用这个） 说明： 2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。 命令格式如下： 仅刷新计算机策略：gpupdate /target:computer 仅刷新用户策略：gpupdate /target:user 二者都刷新：gpupdate 此命令也适用于，修改了域/OU上的组策略，欲对客户机或用户马上生效。在客户机上运行此命令即可。自动刷新间隔：DC到DC是5分钟，2个以上的多DC，最长可能达到15分钟，DC到非DC是90+ -30分钟，即60~120分钟。 说明：安全策略只是组策略的一部分，或者说子集。所以有的网友说改默认域的组策略也是对的。 操作：开始/程序/管理工具/AD用户和计算机/域上右键/属性/组策略/默认域的组策略/计算机配置/windows设置/安全设置（MS只不过把这部分单独提出来做了鯩MC控制台——域安全策略，而已）/帐户策略/密码策略