组策略管理控制台使用指南.docx

关于组策略管理控制台使用的逐步式指南要确定在以前搜索中找到的“Domain Password Policy”GPO 的作用域，请按照以下步骤操作：1.在“搜索组策略对象”搜索结果窗格中，双击“Domain Password Policy”，然后单击“关闭”。注意：在关闭“搜索组策略对象”对话框后，以前选择的 GPO 在 GPMC 中具有焦点。此时将出现“GPO 作用域”页，如图 5 所示。图 5. 确定 GPO 的作用域要检查 GPO 将应用的策略，请按照以下步骤操作：1.在“Domain Password Policy”结果窗格中，单击“设置”选项卡，然后单击“全部显示”。此时将显示所有已定义策略设置的摘要（如图 6 所示），但不显示未定义的设置。图 6. 检查 GPO 设置GPO 策略继承和链接顺序特定容器的“组策略继承”选项卡显示从父容器继承的所有 GPO（链接到站点上的 GPO 除外）。该选项卡中的“优先”列显示所有链接的总体优先级（这些链接将应用于该容器中的对象），并考虑“链接顺序”和每个链接的“强制”属性以及“阻止继承”。要查看容器中的策略继承，请按照以下步骤操作：1.在“组策略管理”窗口的“”树下面，展开“Accounts”OU，然后单击“Headquarters”OU，如图 7 所示。图 7. 组策略继承查看大图如果将多个 GPO 链接到相同的容器，并且这些 GPO 具有相同的设置，则必须有一个协调这些设置的机制。这种行为是由链接顺序控制的。链接顺序编号越小，优先级越高。特定容器链接的相关信息显示在该容器的“链接的组策略对象”选项卡中。该窗格显示是否强制进行链接，是否启用链接，GPO 状态，是否应用 WMI 筛选器，其修改时间以及存储它的域容器。委派了“将 GPO 链接到容器”权限的管理员或用户可以使用以下方法更改链接顺序：突出显示 GPO 链接，然后使用向上和向下箭头，在链接顺序列表中向上或向下移动链接。要更改容器中的策略链接顺序，请按照以下步骤操作：1.在“Headquarters”屏幕上，单击“链接的组策略对象”。2.在“GPO”列下面，单击“Linked Policies”，然后单击“链接顺序”列左侧的向上箭头。完成后，“Headquarters”OU 下面 GPO 的链接顺序应该如图 8 所示。图 8. GPO 链接顺序查看大图返回页首GPO 备份、还原、复制以及导入备份 GPOGPO 备份操作将 GPO 中的数据复制到文件系统中。备份功能还具有 GPO 导出功能。可使用 GPO 备份将 GPO 还原到已备份状态，或者将备份中的设置导入到另一个 GPO 中。GPO 备份操作将 GPO 内部存储的所有信息保存到文件系统中。其中包括以下内容：GPO 全局唯一标识符 (GUID) 和域 GPO 设置GPO 中的自由访问控制列表 (DACL)WMI 筛选器链接（如果有的话），但不包括筛选器本身到 IP 安全策略的链接（如果有的话）GPO 设置的可扩展标记语言 (XML) 报告（可将其视为 GPMC 中的 HTML）备份的日期和时间戳用户提供的备份说明GPO 备份操作只保存在 GPO 中存储的数据。在 GPO 外面存储的数据包括以下内容：到站点、域或 OU 的链接WMI 筛选器IP 安全策略在将备份还原到原始 GPO 或导入新 GPO 时，该数据不可用。要备份“Domain Password Policy”GPO，请按照以下步骤操作：1.在“组策略管理”窗口的“”树下面，单击“组策略对象”文件夹。2.在“组策略对象”文件夹中，右键单击“Domain Password Policy”GPO，然后单击“备份”。3.在“备份组策略对象”对话框中，键入“c:windows”作为“位置”，键入“Domain Password Policy Backup”作为“描述”，然后单击“备份”。4.在备份完成后，单击“确定”继续。管理备份可以将多个相同或不同的 GPO 备份存储在相同的文件系统位置中。每个备份都使用唯一的备份 ID 来标识。可以使用 GPMC 中的“管理备份”对话框或通过可编程接口来管理特定文件系统位置中的备份集合。可通过右键单击特定域中的“域”节点或“组策略对象”节点来访问“管理备份”对话框。在从“组策略对象”节点中打开“管理备份”时，就会自动对视图进行筛选，以便只显示该域的 GPO 备份。在从“域”节点中打开“管理备份”对话框时，将会显示所有备份（无论备份来自哪个域）。要管理可用的 GPO 备份，请按照以下步骤操作：1.在“组策略管理”窗口的“”树下面，右键单击“组策略对象”文件夹，然后单击“管理备份”。此时将出现“管理备份”窗口，如图 9 所示。图 9. 管理备份2.在“管理备份”窗口中，单击以突出显示先前创建的“Domain Password Policy Backup”，然后单击“查看设置”。3.查看详细的 GPO 信息，然后关闭“Internet Explorer”。从备份还原GPO 还原操作从备份数据中重新创建 GPO。可以在下列两种情况下使用还原操作：备份了 GPO 但以后将其删除；或 GPO 处于活动状态，并且您要回滚到先前的已知状态。还原操作将替代以下 GPO 组件。GPO 设置GPO 上的 DACLWMI 筛选器链接（但不包括筛选器本身）还原操作只能还原属于 GPO 的对象，其中包括到站点、域或 OU 的链接、WMI 筛选器以及 IPSec 策略。要还原“Domain Password Policy”GPO，请按照以下步骤操作：1.在“管理备份”窗口中，单击“还原”。2.在出现提示时，单击“确定”还原选定的备份。3.在 GPO 还原完成后，单击“确定”。4.在“管理备份”对话框中，单击“关闭”。复制 GPO您可以使用复制操作，将 Active Directory 中现有 GPO 的设置直接传送到新的 GPO 中。将为复制操作期间创建的新 GPO 指定一个新的 GUID，并且将其解除链接。可以使用复制操作，将设置传送到相同域、相同林的其他域或其他林的域中的新 GPO。因为复制操作将 Active Directory 中的现有 GPO 作为源，所以源和目标域之间需要具有信任关系。复制操作适用于在生产环境之间移动组策略。只要源和目标域之间具有信任关系，就可以使用这些操作将测试域或林中经过测试的组策略迁移到生产环境中。要复制 GPO，请按照以下步骤操作：1.在“”树下面的“组策略对象”文件夹中，右键单击“Enforced User Policies”GPO，然后单击“复制”。2.单击“”旁边的加号 (+) 将树展开，然后单击“组策略对象”旁边的加号 (+) 将树展开。3.右键单击“组策略对象”，然后单击“粘贴”。4.在“跨域复制向导”中，单击“下一步”继续。5.在“指定权限”屏幕上，选择“新 GPO 使用默认权限”（默认），如图 10 所示，然后单击“下一步”。图 10. 跨域复制向导6.在扫描完原始 GPO 后，单击“下一步”继续。7.在“完成跨域复制向导”屏幕上，检查设置，然后单击“完成”。8.在完成复制操作后，单击“确定”。注意：“Enforced User Policies”GPO 已复制到 域中，不过它尚未链接到任何容器上。要将“Enforced User Policies”GPO 链接到 的根目录，请按照以下步骤操作：1.右键单击“”，单击“链接现有 GPO”，单击以突出显示“Enforced User Policies”，然后单击“确定”。导入 GPO导入操作使用文件系统位置中的已备份 GPO 作为其源，将设置传送到 Active Directory 中的现有 GPO。可以使用导入操作，将一个 GPO 的设置传送到相同域中的其他 GPO、相同林中其他域的 GPO、或不同林中域的 GPO。导入操作始终将已备份设置放在现有的 GPO 中。它会清除目标 GPO 中预先存在的任何设置。导入并不要求源域和目标域之间具有信任关系，因此，非常适用于在没有信任关系的林和域之间传送设置。将设置导入到 GPO 并不会影响其 DACL；也不会影响站点、域或 OU 到该 GPO 的链接或者到 WMI 筛选器的链接。要将 “Domain Password Policy”导入到 “Domain Password Policy”中，请按照以下步骤操作：1.在“组策略管理”窗口中，右键单击“”，然后单击“创建并链接 GPO”。2.在“新建 GPO”对话框中，键入“Domain Password Policy”作为“名称”，然后单击“确定”。3.在“”树中的“组策略对象”下面，右键单击“Domain Password Policy”GPO，然后单击“导入设置”。4.在“导入设置向导”中，单击“下一步”继续。5.在“备份 GPO”屏幕上，单击“下一步”继续，由于 GPO 当前没有策略定义，所以不进行备份。6.接受默认备份文件夹“c:windows”，然后单击“下一步”继续。7.由于“Domain Password Policy”是当前唯一的备份，所以默认选择该 GPO。单击“下一步”，开始从该 GPO 中导入设置。8.在扫描完 GPO 安全主体后，单击“下一步”，然后单击“完成”。9.在“导入设置向导”完成后，单击“确定”。要验证 “Domain Password Policy”，请按照以下步骤操作：1.在“”树中的“组策略对象”下面，单击“Domain Password Policy”，然后在结果窗格中单击“全部显示”。设置应该如图 11 所示。图 11. 的“Domain Password Policy”查看大图返回页首GPO 建模组策略建模“组策略建模”模拟在管理员指定的环境中出现的情况。因为此模拟过程是由运行 Windows Server 2003 的域控制器上运行的一项服务完成的，所以至少需要有一个运行 Windows Server 2003 的域控制器。通过使用“组策略建模”，您可以模拟应用于现有配置的 RSoP 数据；或者通过模拟目录环境的假设性更改，然后计算该假设性配置的 RSoP 来进行“假定推测”分析。例如，您可以模拟安全组成员身份更改或 Active Directory 中用户或计算机对象位置更改。在 GPMC 外部，将“组策略建模”称为“RSoP 规划模式”。要模拟 GPO 效果，请按照以下步骤操作：1.在“组策略管理”窗口中，单击“域”旁边的减号 (-) 将树折叠。2.在“林:”树下面，右键单击“组策略建模”，然后单击“组策略建模