组策略Active Directory 环境中使用组策略管理控制台 (GPMC)

directory listing denied 时间:2021-01-22 阅读:()

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

关于组策略管理控制台使用的逐步式指南

该逐步式指南提供了在Active Directory环境中使用组策略管理控制台(GPMC)来支持组策略对象(GPO)的一般性指导。该指南并不提供GPO实施指导。

本页内容

简介

概述

安装和配置GPMC管理组策略对象

GPO备份、还原、复制以及导入

GPO建模

简介

逐步式指南

Windows Server 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍经过以下过程来建立通用网络结构:安装Windows Server ;配置Active Directory®;安装Windows XP Professional工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

在配置通用网络结构后,能够使用任何其它的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。

Microsoft Virtual PC

能够在物理实验室环境中或经过虚拟化技术(如Microsoft Virtual PC 或Microsoft Virtual Server )来实施WindowsServer部署逐步式指南。借助于虚拟机技术,客户能够同时在一台物理服务器上运行多个操作系统。Virtual PC 和Virtual Server就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。Windows Server部署逐步式指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。

将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

重要说明

此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS)名称并未注册以便在Internet上使用。您不应在公共网络或Internet上使用此名称。

此通用结构的Active Directory服务结构用于说明”Windows Server更改和配置管理”如何与Active Directory配合使用。不能将其作为任何组织进行Active Directory配置的模型。

概述

Microsoft组策略管理控制台(GPMC)是一个用于组策略管理的新工具,它经过改进易管理性和提高效率帮助管理员更经济有效地管理企业。它包含一个新的Microsoft管理控制台(MMC)管理单元和一组可编程接口。

GPMC提供单一位置来管理组策略核心内容,从而简化了组策略的管理。它能够根据用户需要提供以下功能来满足最高的组策略部署要求。

过去,管理员需要使用几个Microsoft工具来管理组策略,如”Active Directory用户和计算机”、 ”Active Directory站点和服务”以及”策略的结果集”管理单元。 GPMC将这些工具中提供的现有组策略功能以及一些新功能集成到一个统一的控制台中。

GPMC中内置了对多个域和林管理的支持,因此,管理员能够方便地管理整个企业中的组策略。管理员能够完全控制在GPMC中列出哪些林和域,因而能够只显示环境的相关部分。

注意:该逐步式指南只提供使用GPMC来管理GPO的指导,并不提供有关其配置的指导。有关配置GPO的信息,请参见了解组策略功能集的逐步式指南。

先决条件

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

安装和配置GPMC

安装GPMC

GPMC安装是一个涉及运行Windows Instal ler (.MSI)程序包的简单过程。要下载最新版本,请参见Windows ServerSystem组策略管理站点,网址为: 。

要安装组策略管理控制台,请按照以下步骤操作:

在安装完成后,更新Active Directory管理单元中站点、域和组织单位(OU)属性页上显示的”组策略”选项卡以提供到GPMC的直接链接。由于所有组策略管理功能都是经过GPMC提供的,因此,无法再使用先前在原始”组策略”选项卡上提供的功能。

要打开GPMC管理单元,请按照以下步骤操作:

为多个林配置GPMC

您能够方便地将多个林添加到GPMC控制台树中。默认情况下,只有在某个林与运行GPMC的用户林之间具有双向信任关系时,才能将其添加到GPMC中。您能够有选择地允许GPMC使用仅单向信任关系或根本不使用信任关系。经过突出显示树根目录中的”组策略管理”,从上下文菜单中选择”操作”,然后单击”添加林”,将另一个林添加到GPMC中。由于示例环境只包含单个林,因此,执行这些步骤超出了本逐步式指南的讨论范围。

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

注意:在添加不受信任的林时,将无法使用某些功能。例如,不能使用”组策略建模”,而且无法打开”组策略对象编辑器”以编辑不受信任的林中的GPO。不受信任的林方案主要用于支持跨林复制GPO。

同时管理多个域

GPMC支持同时管理多个域,而且每个域在控制台中是按林进行分组的。默认情况下,GPMC中只显示一个域。在首先使用预配置的管理单元(gpmc.msc)或自定义MMC控制台启动GPMC后,GPMC将显示包含用于启动GPMC的用户帐户的域。经过添加和删除控制台中显示的域,您能够指定每个林中要使用GPMC管理的域。

注意:即使您没有整个林的林信任关系,您也可添加外部信任域。默认情况下,要添加的域和用户对象域之间必须具有双向信任关系。也能够经过使用”查看”菜单中的”选项”对话框禁用GPMC的信任检测功能,来添加具有单向信任关系的域。要添加外部信任域,您必须先使用”添加林”对话框,从包含外部信任域的林中添加一个域。在添加该林后,您可经过右键单击该林的”域”节点,然后单击”显示域”,在该受信任的林中添加任何域。

要将vancouver.contoso.com子域添加到控制台中,请按照以下步骤操作:

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

在GPMC的每个可用域中,可使用相同的域控制器来完成该域中的所有操作。这包括位于该域中的GPO、 OU、安全主体以及WMI筛选器上的所有操作。另外,在从GPMC中打开”组策略对象编辑器”时,它始终将GPMC中的目标域控制器用于GPO所在的域。

GPMC允许您为每个域选择使用哪个域控制器。您能够选择四个选项之一。

任何可用域控制器。如果您要还原包含组策略软件安装设置的已删除要更改GPMC用于vancouver.contoso.com域的域控制器,请按照以下步骤操作:

管理组策略对象

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

查看域GPO

在每个域中,GPMC都提供了一个基于策略的Active Directory视图以及与组策略关联的组件,如GPO、 WMI筛选器以及GPO链接。 GPMC中的视图与”Active Directory用户和计算机”MMC管理单元中的视图类似,它们都显示OU分层结构。然而,GPMC与该管理单元不同之处在于,它不显示OU中的用户、计算机和组,而显示链接到每个容器的GPO以及链接到这些GPO本身的GPO。

GPMC中的每个域节点都显示以下项目。

要查看与特定容器关联的GPO,请按照以下步骤操作:

要查看与特定域关联的所有GPO,请按照以下步骤操作:

1 . 在”域”树下,单击”contoso.com”旁边的加号(+),然后单击”组策略对象”。

搜索GPO

能够在林或域级别进行GPO搜索。经过使用单个或多个搜索参数,有助于在大量的GPO中缩小搜索结果的范围。要使用多个搜索参数在contoso.com林中查找特定GPO,请按照以下步骤操作:

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

确定GPO的作用域

只能经过正确地将GPO应用于要管理的Active Directory容器来实现组策略值。确定哪些用户和计算机接收GPO中的设置的过程称为”确定GPO的作用域”。确定GPO作用域的过程基于三个因素。

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

要确定在以前搜索中找到的”Domain Password Policy”GPO的作用域,请按照以下步骤操作:

1. 在”搜索组策略对象”搜索结果窗格中,双击”Domain Password Pol icy”,然后单击”关闭”。