第25章 管理组策略_Z_V1.docx

第25章 管理组策略教学目标： 管理组备份 组策略还原 管理组策略设置 使用组策略建模监控组策略应用 使用组策略结果监控组策略应用本章详细介绍使用组策略管理工具进行组策略管理，包括组策略备份，还原。通过组策略管理工具查看组策略设置，禁用组策略的用户设置或计算机设置。使用组策略建模和组策略结果监控组策略应用。排除组策略应用中错误。25.1 组策略管理组策略管理（GPMC）为管理组策略提供了新的框架。通过GPMC，组策略能够更容易地使用，更多的组织能够更好地利用活动目录服务，从其强大的管理特性中获益。 例如，组策略管理控制台（GPMC）能够备份和恢复组策略对象（GPO），导入/导出和复制/粘贴GPO，GPO设置报告及策略结果集(RSoP)数据用于管理配置模板和所有可脚本化的GPMC操作。组策略管理包括创建组策略，删除组策略，查看组策略设置，备份全部组策略，备份单个组策略，还原组策略。25.1.1 安装组策略管理工具组策略管理工具包含在 Windows Server 2008 中。但是，该功能不会随操作系统一起安装。安装活动目录时会自动安装“组策略管理”。如果你打算在不是域控制器的Windows Server 2008上管理组策略管理工具，需要安装单独安装“组策略管理”功能。下面步骤使用用户界面安装 GPMC。1. 在FileServer上，若要安装“组策略管理”，点击“开始”“程序”“管理工具”，点击“服务器管理器”，或点击开始菜单图标，打开“服务器管理器”。2. 如图25-1所示，在控制台树中，单击“功能”。在“功能”窗格中，单击“添加功能”。3. 如图25-2所示，在“添加功能向导”对话框中，从可用功能列表中选择“组策略管理控制台”。单击“安装”。 图25-1 添加功能 图25-2 选择功能4. 安装完成后，关闭“服务器管理器”。使用命令行安装 GPMC。1. 以管理员身份打开命令提示符。2. 在命令提示符下键入 ServerManagerCmd -install gpmc。3. 安装完成后关闭命令提示符。25.1.2 创建组策略你可以创建一个不与任何组织单元连接的组策略，编辑好了之后再链接到组织单元。以下演示为研发部创建组策略。1. 在WINServer上，点击“开始”“程序”“管理工具”，打开“组策略管理”工具。2. 如图25-3所示，右击“组策略对象”，点击“新建”。3. 如图25-4所示，在出现的新建GPO对话框，输入组策略名称，点击“确定”。 图25-3 新建组策略 图25-4 输入组策略名称25.1.3 查看组策略设置组策略的设置有三种状态：“未配置”、“已启用”和“已禁用”。创建的新的组策略，所有设置都是“未配置”，使用组策略管理工具可以方便的查看组策略设置，即“已启用”和“已禁用”的设置。如图25-5所示，选中组策略后，点击“设置”标签可以非常方便的查看组策略的设置，未配置的设置不显示。图25-5 组策略设置25.1.4 指定组策略的状态如图25-6所示，组策略的状态可以是“已启用”、“已禁用所有设置”、“已禁用计算机配置设置”和“已禁用用户配置设置”。如果组策略只是管理计算机的，就可以将组策略状态指定为“已禁用用户配置设置”，这样用户登录时就不在检查该组策略是否配置了用户设置。能够减少用户登录等待的时间。同样如果在组策略是只是管理用户的，就可以将组策略状态指定为“已禁用计算机配置设置”，这样域中计算机启动时不再检查计算机的设置。能够减少计算机登录过程中应用组策略的时间。图25-6 组策略状态25.1.5 查看组策略作用域一个组策略可以连接到多个容器，域和组织单元都是容器。如图25-7所示，通过查看组策略的作用域可以看到一个组策略连接到哪些容器。图25-7 组策略作用域25.1.6 备份组策略你可以备份所有组策略，也可以单独备份一个组策略。以下将会演示备份所有组策略然后备份单个组策略。1. 如图25-8所示，右击“组策略对象”，点击“全部备份”。2. 如图25-9所示，在出现的备份组策略对象对话框，指定备份位置和描述，点击“备份”。3. 在出现的备份对话框，可以看到备份进度，备份完成后点击“确定”。 图25-8 全部备份 图25-9 开始备份4. 右击“销售部GPO”，点击“备份”。5. 在出现的备份组策略对象对话框，指定备份位置和描述，点击“备份”。25.1.7 删除组策略对不在使用的组策略可以删除。1. 右击“销售部GPO”，点击“删除”。2. 在出现的确认对话框，点击“是”。25.1.8 还原组策略如果组策略编辑错了或者删除错了，你可以通过备份还原到以前的状态。恢复删除的组策略“销售部GPO”。以下操作将会演示还原删除的组策略到以前的版本。1. 如图25-10所示，右击“组策略对象”，点击“管理备份”。2. 如图25-11所示，在出现的管理备份对话框，可以看到所有备份的组策略，你可以只显示最新的版本，也可以查看组策略设置，点中要还原的组策略，点击“还原”，在出现的提示对话框，点击“确定”。这样能够还原删除了的组策略。 图25-10 管理备份 图25-11 还原删除的组策略25.2 监控组策略应用当你实施组策略时可能会遇到问题。当你解决组策略问题时，你必须考虑到各个组件之间的依赖关系。比如组策略依赖活动目录，活动目录依赖网络服务的正确配置。如果域中的计算机应用完组策略后计算机设置没有达到预期的设置，或用户登录后应用完组策略用户设置后没有达到预期的效果。这就需要管理员能够找到组策略没有正确应用的原因。Windows Server 2008有两个新的组策略管理功能帮助你确定组策略对某个特定用户或计算机的设置。这两个管理功能是组策略建模和组策略结果。25.2.1 实现组策略时常见的问题解决组策略问题的第一步找到症状和可能的原因。在大多数情况下，组策略没有按照期望的结果生效是因为其他的组策略在同一个设置上有冲突。或者组策略设置中采用了阻断继承，禁止覆盖，过虑，设置。使用组策略建模向导和组策略结果可以判断哪些组策略设置了哪些值。在执行组策略时可能遇到问题。下面是可能遇到的问题中的一些，以及解决它们的建议策略。在试图打开或编辑组策略时，接收到错误信息称组策略对象不能被访问或打开。可能的原因和解决方案是： 可能没有访问GPO的权限。检查试图打开或访问的GPO的DACL。必须拥有打开或访问的读写权限。 组策略试图连接的域控制器不在线或域控制器不能用域名系统来解析。确认域控制器在线，如果在线，确认能够使用域名系统来解析域控制器的域名。组策略设置不发挥预期功能。可能原因和解决方案如下： 继承冲突 如果显示组策略设置没有应用，问题可能是由继承冲突引起的。从活动目录继承的顶端开始，检查连接到每个域、站点、组织单元的GPO顺序，这些GPO可能影响还没有接受组策略设置的用户或计算机。然后查看在计算机和用户设置之间是否有冲突，记住，在绝大多数情况下，计算机设置优先于冲突的用户设置；检查禁止覆盖的GPO连接以及检查阻止继承的域和组织单元。 权限问题 检查希望应用的GPO的DACL。确保用户和计算机账户有需要应用的所有GPO的读和申请组策略设置的权限；同时，检查计算机或用户账户的安全组成员资格，确保账户是其成员之一的安全组在DACL中列出；同时，检查拒绝ACE。记住拒绝优先于所有的允许权限。 禁用GPO节点 检查所有的GPO，查看计算机配置或用户配置节点是否已经禁用。 复制问题 确保活动目录复制和Sysvol复制的完成。记住如果GPO的GPC和GPT部分都没有复制，组策略将无法运行。 域之间的GPO连接问题 如果一个站点、域或组织单元连接到另一个域的GPO上，可以通过信任关系访问该GPO。如果由于某种原因信任遭到破坏，对连接的GPO的访问以及组策略的执行就会失败。可以通过每个域有多个域控制器或在域间创建明确的信任机制来阻止这种类型问题的发生。 移动了的计算机或用户 对象客户机每30分钟会缓存活动目录的位置。如果计算机或用户账户从一个组织单元移到另一个组织单元，客户机将无法判断对象的正确位置。如果组策略在缓存对象位置之前刷新，新的组策略设置将不能执行。但是，新的组策略设置将在下次刷新时执行。25.2.2 组策略建模顾名思义，在这里，您可以建模出组策略的运行结果，并且最终得出选定容器中有效的设置。尤其是对那些经多重继承，重复加载组策略对象的容器，对策略的生效状态是最难以分辨了。组策略建模（Group Policy Modeling）旨在从容器中通过特定的查询，得出所有组策略组合后的有效设置，结果以HTML报告的形式显示。需要注意的是，组策略建模仅支持Windows Server 2003和Windows2008的域控制器，如果您的GPMC连接到Windows 2000的域控制器，该节点是不可见的。对于早期版本的组策略，组策略建模以策略结果集（RSoP）计划模式实现。你首先创建组策略建模查询然后查看查询结果。示例：组策略建模组策略建模就是域控制器根据指定的域用户登录特定的计算机计算出组策略的应用情况。本示例将会查询培训部用户张春峰登录销售部计算机FileServerket都应用那些组策略设置。1. 在WINServer 上以管理员登录，打开组策略管理工具。2. 如图25-12所示，右击“组策略建模”，点击“组策略建模向导”。3. 在出现的欢迎使用组策略建模向导对话框，点击“下一步”。4. 如图25-13所示，在出现的域控制器选择对话框，选择91域，选择“此域控制器”，点中WINS，点击“下一步”。 图25-12 运行组策略建模向导 图25-13 选择域控制器5. 如图25-14所示，在出现的用户和计算机选择对话框，用户信息选择“用户”，输入91xueitzhangchunfeng，计算机信息选择“计算机”，输入91xueitFileServer，选中“不收集其他数据，直接跳到此向导的最后一页”，点击“下一步”。6. 在出现的选择摘要对话框，点击“下一步”。 图25-14 指定用户和计算机7. 在出现的正在完成组策略建模向导，点击“完成”。8. 点中FileServer上的zhangchunfeng，在设置标签下，可以看到zhangchunfeng登录FileServer后，组策略应用的结果。9. 如图25-15所示，点开“用户配置”“策略”“Windows设置”“脚本”“登录”，可以看到设置的销售部GPO设置的两个脚本。图25-15 查看具体设置10. 如图25-16所示，右击“FileServer上的zhangchunfeng”，点击“高级查看”。 图25-16 高级查看11. 如图25-17所示，在出现的策略的结果集对话框，可以看到计算机配置和用户配置。该结果是由域控制器根域用户和计算机帐户所在的位置计算的。图25-17 组策略结果集25.2.3 组策略结果你使用组策略结果来验证应用到一个计算机和登录到该计算机的用户的组策略设置。虽然这些数据和组策略建模工具产生的数据相似，但从客户计算机的那里的收集到的组策略的最终设置，而不是从域控制器上建模出来的结果集。使用组策略结果得到数据，要求客户计算机必须是Windows XP或Windows Server 2003或Windows 2008。示例：组策略结果使用市场部计算机FileServer计算张春峰登录后的组策略应用结果。这就要求FileServer必须关闭防火墙。1. 如图25-18所示，在FileServer上，运行wf.msc，打开Windows高级防火墙管理工具，关闭Windows防火墙，如有其他的第三方防火墙也要关闭。2. 如图25-19所示，在域控制器WINServer上，打开组策略管理工具，右击“组策略结果”，点击“组策略结果向导”。 图25-18 关闭防火墙 图25-19 运行组策略结果向导3. 如图25-20所示，在出现的欢迎使用组策略结果向导对话框，点击“下一步”。4. 如图25-21所示，在出现的计算机选择对话框，选择“另一台计算机”，输入91xueitFileServer，点击“下一步”。 图25-20 组策略结果向导 图25-21 选择计算机5. 如图25-22所示，在出现的用户选择对话框，选择“显示策略设置”，选择“选择一个特定用户”，选择“91xueitzhangchunfeng”，点击“下一步”。图25-22 选择用户 提示：列出来的用户都是在该计算机上登录过的用户，如果