AD与策略方案

1、AD 与策略方案technical2007-04-10 22:00:27阅读 250评论 0 字号：大中小订阅AD 与策略方案一、域的简介（DCPROMO）1 、域是最小的管理单位，树是一个或多个WIN2003域的层次组合，树中的域共享连续的名称空间和层次的名称和结构。域林是一棵完全独立的域树的逻辑组合，域林中每个域树有不同的名称空间，域林中第一个域树的根域作为这个域林的根域，每个域树的根域与域林的根域之间存在传递信任关系。域林中的所有域共享一个通用的全局目录。全局目录在第一个域控制器上自动创建，用来保存常用的ACTIVE DIRECTORY对象属性2 、域有3 种模式，混合、本机模式（纯模式

2、）和WIN 2003模式。2 、一个网络里，如果希望一个用户具有管理用户的权限，它就可以管理整个域中的用户。3、域一般对应公司级别，而OU 对应公司部门4、OU 是 AD 中的对象，也是AD 中的容器5、OU 可以建立 USER 、GROUP ，也可以建立子 OU6、OU 可以对普通用户授权，具有管理新OU 的权限7、OU 的创建1 、基于管理对象的OU ，AD 中和种对象分类，每一类对象建立一个或多个OU ，如用户、计算机、打印机、共享文件。2 、基于地理位置的OU ，为每一个地理位置创建OU ，包含所有业务，如上海、北京。3 、基于业务功能部门的OU ，为了和公司组织结构相同，OU 可以基

3、于公司内部的各种各样的业务功能部门创建，如销售、研发、市场、人力资源部。4、基于项目的 OU ，为项目分配相应的资源，如人力、软件、硬件设备。可为项目建立单独的OU ，OU 中建立相应的对象或将其它OU 中的对象移动过来。 AD 中默认建立一个OU，用来存放域控制器的OU ，DOMAIN CONTROLLERS， OU 图标与其它容器的图标不相同。二、 AD 建立1、域用户账号2、域用户账号属性3 、配置文件：程序项目、屏幕颜色、网络连接、打印机连接、窗口大小和位置。配置文件保存在DOCUMENTS AND SETTINGUSERNAME4 、组的实现与管理，GROUP 是用户账号的集合，通过

4、一组用户分配权限而不是每个用户分配权限管理的特点。（ 1）用户加入组继承该组权限（ 2）用户可加入多组（ 3）组也可以加入组5 、组的分类（ 1）安全组A 组嵌套在B 组中，那么A 就有 B 的权限使用，安全组而不是单独的用户，可简化网络的维护和管理工作，安全组定义资源和对象权限的访问控制列表中。（ 2）通迅组，只能用作电子邮件的通迅，没有安全方面的功能，可在其中存储联系人和用户账号，只有在电子邮件应用程序中，才能使用通迅组将电子邮件发送给一组用户。6 、组的作用域与成员关系（ 1）通用组成员可包括域树或域林中任何域中的其它组织和账户，可在任何域中指派权限。（ 2）全局组成员可包括只在其所在域

5、中其它组织和账户，可在林中任何域指派权限。（ 3）本地域组成员可包括 WIN 2003 、WIN2000 、NT 域中其它组和账户，只能在其所在域中指派权限。7 、三种域的介绍（ 1）本地作用域：1、组可以加到其它本地域的组，并且仅在域中有权限。2 、组不把具体本地域作用域的其它组作为其成员就可转为通用作用域。 3、当域功能被设置为WIN2000混合时，域组成员可包括来自任何域的账户4、当域功能级别被设置为WIN2000或 WIN2003时，本地域组的成员可包括来自任何域的的账户、全局组或通用组，以相同域的本地域组。（ 2）全局作用域：1、当域功能级别被设置为WIN200本机或 WIN2003

6、时，全局组的成员可包括来自相同域的账户或全局组。2、当域功能级别被设置为WIN2000混合时，全局组的成员可包括来自相同域的账户。3、组可被加到其它组并且在任何域中指派权限。4 、只要组不是具有全局作用域的任何其他组的成员，就可以转换为通用作用域。（ 3）通用作用域：当域的功能级别被设置为WIN2000或 WIN2003时，通用组的成员可包括来自任何域的账户、全局组和通用组。当域功能级别被设置为WIN2000混合时， 不能创建具有通用组的安全组。当域的功能级别被设置为WIN200本或 WIN2003时，组可以被加到其它组并在任何域中指派权限。组可以转换为本地域作用域，只要组中没有其它通用组作为

7、其成员，就可以转换为全局作用域。二、域的策略1. “启动Active Desktop设”置，位置在用户配置桌面 Active Desktop还有 “用户配置管理模板网络 脱机文件 ”中的 “禁用脱机文件的用户配置”设置。2. 这个设置允许用户打开MMC用户模式控制台文件，如在Windows 2000 Server家族或Windows Server 2003家族中的 “管理工具 ”菜单上的文件。但是，用户无法打开开始菜单上的空白的MMC控制台窗口。 (要打开MMC ，单击 “开始 ”，单击 “运行 ”，再键入MMC 。) 用户也无法从命令提示符打开空白的MMC控制台窗口。如果停用或不配置这个设置

8、，用户则可以进入作者模式并打开作者模式控制台文件。选择的允许或禁止Microsoft Management Console (MMC)管理单元的使用。- 如果您启用该设置，所有管理单元被禁用，除了那些您明确允许的管理单元。如果您计划禁止使用大多数管理单元，请使用这个设置。要想明确允许某个管理单元，请打开“限制 /允许管理单元 ”设置文件夹，然后启用那些代表您要允许使用的管理单元的设置。如果文件夹中某个管理单元设置被禁用或者没有配置，该管理单元被禁用。- 如果您禁用该设置或者没有配置它，所有管理单元允许使用，除了那些您明确禁止的管理单元。如果您计划允许使用大多数管理单元，请使用这个设置。要想明确

9、禁止某个管理单元，打开“受限的 /许可的管理单元”设置文件夹，然后禁用那些代表您要禁止使用的管理单元的设置。如果文件夹中某个管理单元设置被启用或者没有配置，该管理单元允许使用。注意 : 如果您启用这个设置，并且在“受限的 /许可的管理单元”文件夹中无法启用任何设置，用户无法使用任何MMC管理单元。3. 设置为 “启用 ”，管理员可根据指定的规则从远程与用户的终端服务会话交互作用。若要设置这些规则，请在“选项 ”列表中选择需要的控制和权限级别。若要禁用远程控制，请选择“不”允许远程控制。如果状态设置为“禁用 ”或“未配置 ”，则远程控制规则由服务器管理员使用“终端服务配置”工具 (tscc.ms

10、c) 来确定。默认情况下，远程控制用户具有完全控制会话用户的权限。4. 防止用户从可移动媒体安装程序。如果用户试图从可移动媒体，如CD-ROM 、软盘和DVD安装程序，消息会出现，声称找不到这个功能。即使安装是在用户的安全上下文中运行的，这个设置依然适用。如果停用或不配置这个设置，当安装是在用户自身的安全上下文中运行时，用户才能从可移动媒体安装；但当安装是用高系统特权运行时(如在桌面上提供的或“添加 /删除程序 ”中显示的安装)，只有系统管理员可以使用可移动媒体。同时参阅 : 计算机配置管理模板 Windows组件 Windows Installer中的 “在设置被升高的情况下，允许用户使用媒

11、体源”设置。同时参阅 : 用户配置管理模板控制面板添加或删除程序中的隐藏“从 CD-ROM或软盘安装程序”选项设置。指导Windows Installer在系统上安装程序时使用系统权限。这个设置将提高的特权应用于所有程序。这些特权通常是为分配给用户(桌面上提供的)或计算机 (自动安装的 )的或可以在 “控制面板 ”的 “添加或删除程序 ”中得到的程序而保留的。这个设置允许用户安装的程序需要访问用户可能没有权限查看或更改的目录，包括受高度限制的计算机上的目录。如果停用或不配置这个设置，在安装的程序不是管理员分配或提供的情况下，系统会应用当前用户权限。注意 : 这个设置出现在“计算机配置 ”和 “

12、用户配置 ”两个文件夹中。要使这个设置生效，您必须在两个文件夹中都将其启用。注意 : 熟练的用户可以利用用这个设置授予的权限来更改特权并获得对受限制的文件和文件夹的永久访问权。请注意，这个设置的“用户配置 ”版本不一定安全。指定Windows Installer搜索安装文件的顺序。按默认值， Windows Installer先搜索网络，然后搜索可移动媒体(软盘、 CD-ROM或 DVD) ，最后再搜索Internet (URL)。要改变搜索顺序，启用该设置，然后按您要Windows Installer搜索的顺序输入代表每个文件来源的字母。:- “n代”表网络；- “m”代表媒体；- “u代”

13、表 URL 或 Internet 。要排除某个文件来源，省略或删除代表那个来源类型的字母防止 Windows Installer 生成或保存在扭转中断或不成功的安装时所需的文件。这个设置防止Windows Installer对系统的状态以及在安装期间所作改动的顺序做记录。同时，它还阻止Windows Installer保留以后要删除的文件。这样做的结果是，如果安装没有完成，Windows Installer就无法将计算机还原到原始状态。这个设置是为了减少安装程序所需的临时磁盘空间量而设计的。同时，这项设置还防止居心叵测的用户利用中断安装来收集计算机内部状态的数据或搜索安全系统文件。但是，由于安

14、装不完整可能会导致系统或程序无法运行，除非很有必要，不要使用这个设置。这个设置出现在“计算机配置 ”和 “用户配置 ”文件夹中。无论这个设置在两个文件夹中的哪一个里被启用(即使在另一个文件夹中已明显地被停用)，这个设置即处于启用状态。5. 允许您禁用Windows Messenger。如果启用该设置，Windows Messenger将不会运行。如果禁止或不配置该设置，Windows Messenger可以被使用。注意 : 如果启用这个设置，远程协助无法使用Windows Messenger。注意 : 这个设置出现在“计算机配置 ”和 “用户配置 ”文件夹中。如果两个设置都配置，“计算机配置

15、”中的设置比 “用户配置 ”中的设置优先。6. 此设置允许您删除使用所有Windows Update功能的访问。7. 防止从 Internet 检索有关 CD 及 DVD 的媒体信息。此策略可防止播放机自动从Internet获取有关用户播放的CD和 DVD的媒体信息。 另外，首次使用对话框的“隐私选项 ”选项卡和播放机“隐私 ”选项卡中的 “从 Internet检索CD 和 DVD媒体信息 ”复选框都未选中，并且不可用。如果未配置或禁用了此策略，则用户可以对“从 Internet检索CD和 DVD媒体信息 ”复选框的设置进行更改。8. 防止从 Internet 检索有关音乐文件的媒体信息。此策

16、略防止播放机自动从Internet获取有关音乐文件（例如Windows Media Audio (WMA)和MP3 ）的媒体信息。另外，在首次使用对话框和播放机的 “隐私 ”及“媒体库 ”选项卡中的 “通过从Internet检索缺少的媒体信息来更新音乐文件(WMA和MP3 文件 ) ”都未选中，并且不可用。如果未配置或禁用了此策略，则用户可以对“通过从Internet检索缺少的媒体信息来更新音乐文件(WMA和 MP3 文件 ) ”复选框的设置进行更改。9. 从开始菜单“设置 ”上删除 “任务栏和开始菜单”项目。这个设置也防止用户打开“任务栏属性 ”对话框。如果用户用鼠标右键单击任务栏并单击“属

17、性 ”，系统会出现一个错误消息解释是某个设置禁止了这个操作。从开始菜单“设置 ”上删除 “任务栏和开始菜单”项目。这个设置也防止用户打开“任务栏属性 ”对话框。如果用户用鼠标右键单击任务栏并单击“属性 ”，系统会出现一个错误消息解释是某个设置禁止了这个操作。此设置影响开始菜单的显示方式。Windows 2000 Professional中典型的开始菜单允许用户开始执行普通任务，而新的开始菜单则将普通项目合并在一个菜单之上。使用典型开始菜单时，桌面上出现下列图标:我的文档，图片收藏，我的音乐，我的电脑和网上邻居。新开始菜单直接启动它们。如果启用此设置，开始菜单就以Windows 2000样式显示

18、典型的开始菜单，并且显示标准桌面图标。如果禁用此设置，开始菜单就仅显示新样式，即，桌面图标当前位于开始页。如果不配置此设置，默认样式为新样式，并且用户可更改此视图。10. 只允许位图图片作为墙纸。此设置限制桌面的背景( “墙纸 ”)只能为位图 (.bmp) 文件。如果用户通过 “桌面 ”选项卡的 “浏览 ”按钮选择其它图形文件格式，例如JPEG ，GIF ，PNG或HTML ，墙纸将不会被加载。自动转换为.bmp格式的文件，如JPEG ，GIF ，和PNG可以被设置为墙纸，这可以通过右键单击图片并选择“设置为墙纸 ”来完成。同时，请查阅“Active Desktop墙纸 ”和“阻止更改墙纸”(

19、在用户配置管理模板控制面板显示 )设置。添加和删除指定的Web内容项目。您可以用这个设置中的“添加 ”框给用户的桌面添加特定的基于Web的项目或快捷方式。用户可以关闭或删除项目(如果设置允许)，但是每次刷新设置时，这些项目都会再次得到添加。您也可以用这个设置从用户的桌面删除特定的基于Web的项目。用户可以再次添加这些项目(如果设置允许 )，但是每次刷新设置时，这些项目都会再次被删除。注意 : 从这个设置的“添加 ”列表删除项目跟删除项目不一样。从“添加 ”列表删除的项目没有从桌面删除。这些项目只是不会再被添加。注意 : 为了使设置生效，您需要注销并重新登录到系统。指定在所有用户的桌面上显示的桌

20、面背景( “墙纸”)。这个设置允许您指定用户桌面上的墙纸并防止用户更改图像及其外观。您指定的墙纸可以作为位图(*.bmp) 、JPEG (*.jpg) 或 HTML (*.htm, *.html)文件来保存。要使用这个设置，键入储存墙纸图像的文件的完全合格的路径和名称。您可以键入本地路径，如 C:Windowswebwallpaperhome.jpg；或 UNC路径，如 ServerShareCorp.jpg 。如果指定的文件在用户登录时不能使用，任何墙纸都不会得到显示。用户不能指定另一个墙纸。您也可以用这个策略来指定墙纸图像是否居于中央、是否平铺或拉伸。用户不能更改这个规格。如果停用或不配置

21、这个设置，任何墙纸都不会得到显示。但是，用户可以选择墙纸。同时，参阅在同一位置的“只允许使用位图墙纸”，以及用户配置管理模板控制面板中的 “阻止更改墙纸 ”设置。注意 : 您需要启用Active Desktop来使用这个设置。10. 防止用户使用 “添加或删除程序 ”。这个设置从 “控制面板 ”删除 “添加或删除程序”并从菜单删除“添加或删除程序”项目。“添加或删除程序”允许用户安装、 卸载、 修复并添加和删除Windows 2000 Professional的功能和组件以及种类很广的Windows程序。发行或分配给用户的程序出现在“添加或删除程序”中。如果停用或不配置这个设置，所有用户都可以

22、使用“添加或删除程序”。处于启用状态时，这个设置的优先级高于这个文件夹中的其它设置。这个设置不防止用户用其它工具和方法安装或卸载程序。11. 从“添加或删除程序 ”栏删除 “添加 / 删除 Windows 组件 ”按钮。结果是，用户无法查看或改变相关的页面。“添加 /删除Windows组件 ”按钮允许用户配置已安装的服务并用Windows组件向导来添加、删除和配置安装文件中的Windows组件。如果停用或不配置这个设置，所有用户都可以使用“添加 /删除Windows组件 ”按钮。这个设置不防止用户用其它工具和方法配置服务或添加/删除程序组件。但是，这个设置防止用户访问Windows组件向导。1

23、2. 从“添加新程序 ”页面删除 “从 CD-ROM 或软盘安装程序 ”一节。这防止用户用 “添加或删除程序 ”从可移动媒体安装程序。如果停用或不配置这个设置，所有用户都可以使用“从 CD-ROM或软盘安装程序”这一选项。这个设置不防止用户用其它工具和方法添加或删除程序组件。注意 : 如果 “隐藏添加新程序页面”设置被启用，则忽略这个设置。同时，如果“阻止任何安装的媒体源”设置 (位于用户配置管理模板 Windows组件Windows Installer )被启用，无论设置是什么，用户也无法从可移动媒体安装程序。13. 防止用户添加或更改桌面背景。在默认情况下，用户可以从“控制面板 ”的 “显

24、示 ”中的 “桌面 ”选项卡来添加桌面墙纸。如果您启用这个设置，“桌面 ”选项卡仍会出现，但选项卡上的所有选项都会被停用。要删除 “桌面 ”选项卡，请使用“隐藏 “桌面 ”选项卡 ”设置。要指定组使用的墙纸，请用“Active Desktop墙纸 ”设置。同时，参阅 “只允许使用位图墙纸”设置。14. 允许用户使用添加打印机向导来搜索网络上共享的打印机。如果您启用此设置或不配置它，当用户通过选择在添加打印机向导的第二页上的“网络打印机，或者在另一台计算机上的打印机”选项，并复选添加打印机向导的第三页上的“连接到此打印机( 或浏览打印机，选择此选项并单击下一步) ”选项，并且不在旁边的“名称 ”

25、编辑框中指定打印机名称，来选择添加一个网络打印机时，添加打印机向导将显示网络上共享的打印机列表，让您从中选择一个打印机。如果您禁用此选项，网络打印机浏览页将从添加打印机向导中删除，并且用户将不能搜索网络打印机，必须输入打印机名称。注意 : 此设置仅影响添加打印机向导。它不阻止用户使用其它程序来搜索共享的打印机或连接到网络打印机。15.确定用户是否可以配置高级TCP/IP设置。如果启用此设置(并启用 “为管理员启用网络连接设置”设置 )，就对所有用户(包括管理员 )禁用 “网际协议 (TCP/IP)属性 ”对话框上的 “高级 ”按钮。因此，用户不能打开“高级TCP/IP设置属性 ”页并修改IP

26、设置 (例如， DNS和 WINS服务器信息 )。重要提示 :如果禁用或不配置“为管理员启用网络连接设置”，此设置将不适用于Windows 2000以后的计算机上的管理员。如果禁用此设置，则启用“高级 ”按钮，并且所有用户均可打开“高级TCP/IP设置 ”对话框。注意 :此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性按钮 ”，用户就无法访问用于TCP/IP配置的 “高级 ”按钮。注意 :不管此设置如何，非管理员用户(不包括网络配置操作员)均不具有访问用于LAN 连接的TCP/IP高级配置的权限。提示 :要打开 “高级TCP/

27、IP设置 ”对话框，在 “网络连接 ”文件夹中，右键单击连接图标，并单击“属性 ”。对于远程访问连接，请选择“网络 ”选项卡。在“此连接使用下列项目”框中，单击 “Internet 协议 (TCP/IP) ”，单击 “属性 ”按钮，然后单击“高级 ”按钮。注意 :在用户退出系统之前，将此设置从“启用 ”更改为 “未配置 ”不会启用 “高级 ”按钮。15.2.定管理员是否可启用和禁用由LAN连接使用的组件。如果启用此设置(并启用 “为管理员启用网络连接设置”设置 )，就会禁用启用和禁用组件的复选框。因此，管理员无法启用或禁用连接使用的组件。重要提示 :如果禁用或不配置“为管理员启用网络连接设置”

28、，此设置就不会应用到Windows 2000以后的计算机上的管理员。如果禁用或不配置此设置，用于连接的“属性 ”对话框就将连接使用的每个组件名称旁边的复选框包括在内。选择复选框将会启用组件，而清除此复选框则会禁用组件。注意 :如果启用 “禁止访问LAN连接的属性 ”设置，则阻止用户访问用来启用和禁用LAN连接的组件的复选框。注意 :不管此设置如何，已禁止非管理员用户启用或禁用用于LAN 连接的组件。15.3.确定用户是否可以配置高级TCP/IP设置。如果启用此设置(并启用 “为管理员启用网络连接设置”设置 )，就对所有用户(包括管理员 )禁用 “网际协议 (TCP/IP)属性 ”对话框上的 “

29、高级 ”按钮。因此，用户不能打开“高级TCP/IP设置属性 ”页并修改IP 设置 (例如， DNS和 WINS服务器信息 )。重要提示 :如果禁用或不配置“为管理员启用网络连接设置”，此设置将不适用于Windows 2000以后的计算机上的管理员。如果禁用此设置，则启用“高级 ”按钮，并且所有用户均可打开“高级TCP/IP设置 ”对话框。注意 :此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性按钮 ”，用户就无法访问用于TCP/IP配置的 “高级 ”按钮。注意 :不管此设置如何，非管理员用户(不包括网络配置操作员)均不具有访问

30、用于LAN 连接的TCP/IP高级配置的权限。提示 :要打开 “高级TCP/IP设置 ”对话框，在 “网络连接 ”文件夹中，右键单击连接图标，并单击“属性 ”。对于远程访问连接，请选择“网络 ”选项卡。在“此连接使用下列项目”框中，单击 “Internet 协议 (TCP/IP) ”，单击 “属性 ”按钮，然后单击“高级 ”按钮。注意 :在用户退出系统之前，将此设置从“启用 ”更改为 “未配置 ”不会启用 “高级 ”按钮。15.4.确定Windows 2000 Server家族中的已有设置是否将适用于管理员。Windows 2000 Professional中已有的 “网络连接 ”组设置的集合

31、也存在于Windows XP Professional之中。在Windows 2000 Professional中，所有这些设置都具有禁止管理员使用某些功能的能力。默认情况下，Windows XP Professional中的 “网络连接 ”组设置不具有禁止管理员使用功能的能力。如果启用此设置，已存在于Windows 2000 Professional中的 Windows XP设置会具有阻止管理员使用某些功能的能力。这些设置为: “重命名所有用户可以使用的LAN连接或远程访问连接的能力”、“禁止访问LAN 连接组件的属性”、“禁止访问远程访问连接组件的属性”、 “访问TCP/IP高级配置的能力

32、 ”、“禁止访问高级菜单上的高级设置项”、 “禁止添加和删除用来进行LAN连接或远程访问连接的组件”、 “禁止访问LAN 连接的属性 ”、 “禁止启用 /禁用LAN连接组件 ”、 “更改所有用户远程访问连接的属性的能力”、“禁止更改专用远程访问连接的属性”、“禁止删除远程访问连接”、 “删除所有用户远程访问连接的能力”、 “禁止连接和断开连接远程访问连接”、 “启用 /禁用LAN 连接的能力 ”、“禁止访问新建连接向导”、“禁止重命名专用远程访问连接 ”、“禁止访问高级菜单上的远程访问首选项菜单项”、 “禁止查看活动连接的状态”。启用此设置时，同时存在于Windows 2000 Professional和Windows XP Professional中的设置对管理员的行为相同。如果禁用或不配置此设置，已存在于Windows 2000中