tveirectory环境中使用组策略管理控制台GPMC

1、关于组策略管理控制台使用的逐步式指南该逐步式指南提供了在 Active Directory环境中使用组策略管理控制台 (GPMC) 来支持组策略对象 (GPO) 的一般性指导。该指南并不提供 GPO 实施指导。本页内容简介逐步式指南Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建 立通用网络结构：安装 Windows Server 2003 ；配置 Active Directory?；安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如

2、果您不想遵循此通用网络结构，则需要在 使用这些指南时进行适当的修改。通用网络结构要求完成以下指南。在配置通用网络结构后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004或 Microsoft Virtual Server 2005 )来实施 Windows Server 2003 部署逐步式指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Vi

3、rtual PC 2004 和 Virtual Server 2005就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用 于虚拟环境。将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。重要说明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由 此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用结

4、构中使用的虚拟公司名称和域名系统 (DNS) 名称并未注册以 便在 Internet 上使用。您不应在公共网络或 Internet 上使用此名称。此通用结构的 Active Directory服务结构用于说明“ Windows Server 2003更改和配置管理"如何与 Active Directory配合使用。不能将其作为任何组织进行Active Directory 配置的模型。概述Microsoft 组策略管理控制台（GPMC）是一个用于组策略管理的新工具，它通过改进易管理性和提高效率帮助管理员更经济有效地管理企业。它包含一个新的Microsoft管理控制台（MMC）管理单元和

5、一组可编程接口。GPMC提供单一位置来管理组策略核心内容，从而简化了组策略的管理。它可以根据用户需要提供以下功能来满足最高的组策略部署要求。?使组策略更易于使用的用户界面（UI）。?组策略对象（GPO）备份/还原。? GPO 导入 / 导出和复制 / 粘贴以及 Windows Management Instrumentation （WMI）筛选器。?简化了对组策略相关安全功能的管理。? GPO设置和策略的结果集（RSoP）数据的超文本标记语言 （HTML）报告。?将此工具中提供的策略相关任务编制成脚本（而不是将GPO设置编制成脚本）。过去，管理员需要使用几个 Microsoft工具来管理组策略

6、，女口“Active Directory 用户和计算机"、“Active Directory站点和服务”以及“策略的结果集”管理单元。GPMC将这些工具中提供的现有组策略功能以及一些新功能集成到一个统一的控制台中。GPMC中内置了对多个域和林管理的支持，因此，管理员可以方便地管理整个企业中的组策略。管理员可以完全控制在 GPMC中列出哪些林和域，因而可以只显示环境的相关部分。注意：该逐步式指南只提供使用GPMC来管理GPO的指导，并不提供有关其配置的指导。有关配置GPO的信息，请参见。先决条件安装和配置 GPMC安装 GPMCGPMC安装是一个涉及运行 Windows Install

7、er (.MSI)程序包的简单过程。要下载最新版本，请参见 Windows ServerSystem 组策略管理站点，网址为：。要安装组策略管理控制台，请按照以下步骤操作：1. 在服务器“ HQ-CON-DC41”上，浏览到包含“”的文件夹，双击“”程序包，然后单击“下一步”。2. 单击“我同意”，接受最终用户许可协议 (EULA) ，然后单击“下一步”。3. 单击“完成”以完成 GPMC 安装。在安装完成后，更新 Active Directory 管理单元中站点、域和组织单位 (OU) 属性页上显示的“组策略”选项卡以提供到GPMC的直接链接。由于所有组策略管理功能都是通过GPMC提供的，因

8、此，无法再使用先前在原始“组策略”选项卡上提供的功能。要打开 GPMC 管理单元，请按照以下步骤操作：1. 在服务器“ HQ-CON-DC41”上，单击“开始”按钮，单击“运行”，键入: 然后单击“确定”。注意： 此外，也可以使用以下两种方法之一启动GPMC。? 在“开始”菜单或“控制面板”中，单击“管理工具”文件夹中的“组策略管理”快捷方式。?创建自定义的 MMC控制台：单击“开始”按钮，单击“运行”，键入“MM”，然后单击“确定”。 指向“文件”， 单击“添加 / 删除管理单元”， 然后单击“添加”。 单击以突出显示“组策略管理”， 单击“添加”， 单击“关闭”， 然后单击“确定”。为多个

9、林配置 GPMC您可以方便地将多个林添加到GPMC控制台树中。默认情况下，只有在某个林与运行 GPMC的用户林之间具有双向信任关系时，才能将其添加到 GPMC中。您可以有选择地允许 GPMC使用仅单向信任关系或根本不使用信任关系。通过突出显示 树根目录中的“组策略管理”，从上下文菜单中选择“操作”，然后单击“添加林”，将另一个林添加到GPMC 中。由于示例环境只包含单个林，因此，执行这些步骤超出了本逐步式指南的讨论范围。注意： 在添加不受信任的林时，将无法使用某些功能。例如，不能使用“组策略建模”，并且无法打开“组策略对象编辑器”以编辑不受信任的林中的GPQ不受信任的林方案主要用于支持跨林复制

10、GPQ同时管理多个域GPMC支持同时管理多个域，并且每个域在控制台中是按林进行分组的。默认情况下，GPMC中只显示一个域。在首先使用预配置的管理单元或自定义MMC控制台启动GPMC后，GPMC将显示包含用于启动 GPMC的用户帐户的域。通过添加和删除控制台中显示的域，您可以指定每个林中要使用GPMC 管理的域。注意： 即使您没有整个林的林信任关系，您也可添加外部信任域。默认情况下，要添加的域和用户对象域之间必须具有双向信任关系。 也可以通过使用“查看”菜单中的“选项”对话框禁用GPMC 的信任检测功能， 来添加具有单向信任关系的域。要添加外部信任域，您必须先使用“添加林”对话框，从包含外部信任

11、域的林中添加一个域。在添加该林后，您可通过右键单击该林的“域”节点，然后单击“显示域”，在该受信任的林中添加任何域。1. 在“组策略管理”窗口中，单击“林：”旁边的加号（+）将树展开，然后单击“域”旁边的加号（+）。2. 右键单击“域”，然后单击“显示域”。3. 图1.显示域在GPMC的每个可用域中，可使用相同的域控制器来完成该域中的所有操作。这包括位于该域中的GPO OU安全主体以及WMI筛选器上的所有操作。另外，在从GPMC中打开"组策略对象编辑器”时，它始终将GPMC中的目标域控制器用于GPO所在的域。GPMC允许您为每个域选择使用哪个域控制器。您可以选择四个选项之一。?使用主

12、域控制器（PDC）模拟器（默认选项）。?使用任何可用的域控制器。?使用运行 Windows Server 2003家族操作系统的任何可用域控制器。如果您要还原包含组策略软件安装设置的已删除GPO,该选项是非常有用的。?使用指定的特定域控制器。1.2.3.单击“确定”继续。图2.更改域控制器管理组策略对象查看域GPO在每个域中，GPMC都提供了一个基于策略的 Active Directory 视图以及与组策略关联的组件，如 GPO WMI筛选器以 及GPO链接。GPMC中的视图与“ Active Directory 用户和计算机” MMC管理单元中的视图类似，它们都显示0U分层结构。然而，GPM

13、C与该管理单元不同之处在于，它不显示 0U中的用户、计算机和组，而显示链接到每个容器的GPO以及链接到这些GPO本身的GPQGPMC中的每个域节点都显示以下项目。?链接到该域的所有 GPOo所有顶级0U、嵌套0U树状视图以及链接到每个 0U的GPQ 显示域中所有GPO的“组策略对象”容器。显示域中所有 WMI筛选器的“ WMI筛选器”容器要查看与特定容器关联的GPO,请按照以下步骤操作：1. 在“域”树下，单击“”树。此时将出现与该容器（域根目录）关联的GPO,如图3所示。可将此概念应用于任何域容器。图 3. 域根目录中的 GPO要查看与特定域关联的所有GPO,请按照以下步骤操作：1. 在“域

14、”树下，单击“”旁边的加号 （ +），然后单击“组策略对象”。搜索 GPO可以在林或域级别进行 GPO 搜索。通过使用单个或多个搜索参数，有助于在大量的GPO 中缩小搜索结果的范围。要使用多个搜索参数在林中查找特定GPO,请按照以下步骤操作：1. 在控制台树中，右键单击“林 : ”，然后单击“搜索”。2. 在“搜索项”框中，选择“ GPO名称”，键入“ Password'作为“值”，然后单击“添加”。3. 在“搜索项”框中，选择“计算机配置”，选择“ Security ”作为“值”，然后单击“添加”。4. 单击“搜索”。结果应该如图 4 所示。图 4. 基于条件的 GPO 搜索5. 在

15、返回搜索结果后，您可以执行以下操作之一：? 要打开 GPO 进行编辑，请单击“编辑”。? 要保存搜索结果，请单击“保存结果”。在“保存 GPO 搜索结果”对话框中，指定保存结果的文件名称，然后单击“保存”。?要浏览到在搜索中找到的某个GPO,请在搜索结果列表中双击该GPOo? 要清除搜索结果，请单击“清除”。?要关闭“搜索组策略对象”对话框，请单击“关闭”。确定 GPO 的作用域只能通过正确地将 GPO应用于要管理的 Active Directory 容器来实现组策略值。确定哪些用户和计算机接收GPO中的设置的过程称为“确定 GPO的作用域”。确定 GPO作用域的过程基于三个因素。? GPO

16、链接到的站点、 域或 OU ?将 GPO 中的设置应用于用户和计算机的主要机制是， 将 GPO 链接到 Active Directory中的站点、域或 0U。链接GPO的位置称为"管理作用域”或 SOM （在前面的白皮书中也将其视为 SDOU o SOM共有 三种类型：站点、域和 OU。可将一个GPO链接到多个SOM,也可以将一个 SOM链接到多个 GPO要应用某个 GPO, 您必须将其链接到 SOMoGPO 上的安全筛选 默认情况下，位于链接了 GPO 的 SOM 及其子对象中的所有 Authenticated Users （已授权用户）GPO中的设置。这称为将应用GPO中的设置。

17、通过管理GPO中的权限，您可以进一步细化哪些用户和计算机将接收“安全筛选”。对于要应用于特定用户或计算机的GPO,该用户或计算机必须拥有该GPO的“读取”和“应用组策略”权限。默认情况下， GPO 权限允许“ Authenticated Users ”组拥有这两个权限。这就是在将新 GPO 链接到 SOM（OU域或站点）时，所有已授权用户接收该 GPO设置的方法。但是，可以更改这些权限，将GPO的作用域限定为它所链接到的 SOM 中的一组特定用户、组和 / 或计算机。? GPO 上的 WMI 筛选器 通过使用 WMI 筛选器， 管理员可以基于目标计算机属性 （通过 WMI 实现） 动态地确定

18、GPO 的作用域。 WMI 筛选器由一个或多个查询组成，这些查询针对目标计算机 WMI 储存库的求值结果为真或假。 WMI 筛选器是与目录中GPO不同的对象。要将WMI筛选器应用于某个 GPO,请将筛选器链接到该 GPO,如GPO的“作用域”选 项卡上的“ WMI筛选”部分所示。每个GPO只能有一个 WMI筛选器，不过，可以将同一个 WMI筛选器链接到多个GPO在目标计算机上应用链接到WMI筛选器的GPO时，将在该目标计算机上对该筛选器进行求值。如果WMI筛选器计算结果为假，则不应用GPOo如果 WMI筛选器计算结果为真，则应用GPQ要确定在以前搜索中找到的“ Domain Password

19、Policy ” GPO的作用域，请按照以下步骤操作：1. 在“搜索组策略对象"搜索结果窗格中，双击“ Domain Password Policy "，然后单击“关闭”。注意：在关闭“搜索组策略对象”对话框后，以前选择的GPO在GPMC中具有焦点。此时将出现“ GPO作用域”页，如图5所示。图 5. 确定 GPO 的作用域要检查 GPO 将应用的策略，请按照以下步骤操作：1. 在“ Domain Password Policy "结果窗格中，单击“设置"选项卡，然后单击"全部显示"。此时将显示所有已定义策略设置的摘要（如图 6所示）

20、，但不显示未定义的设置。图 6. 检查 GPO 设置GPO策略继承和链接顺序特定容器的“组策略继承”选项卡显示从父容器继承的所有GPO（链接到站点上的 GPO除外）。该选项卡中的“优先”列显示所有链接的总体优先级（这些链接将应用于该容器中的对象），并考虑“链接顺序”和每个链接的“强制”属性以 及“阻止继承”。要查看容器中的策略继承，请按照以下步骤操作：1. 在“组策略管理”窗口的"”树下面，展开“ Accounts” OU然后单击“ Headquarters ” OU，如图7所示。图 7. 组策略继承如果将多个GPO链接到相同的容器，并且这些GPO具有相同的设置，则必须有一个协调这些

21、设置的机制。这种行为是由链接顺序控制的。链接顺序编号越小，优先级越高。特定容器链接的相关信息显示在该容器的“链接的组策略对象”选项卡中。该窗格显示是否强制进行链接，是否启用链接，GPO状态，是否应用 WMI筛选器，其修改时间以及存储它的域容器。委派了“将 GPO链接到容器”权限的管理员或用户可以使用以下方法更改链接顺序：突出显示GPO链接，然后使用向上和向下箭头，在链接顺序列表中向上或向下移动链接。要更改容器中的策略链接顺序，请按照以下步骤操作：1. 在“ Headquarters "屏幕上，单击"链接的组策略对象,2. 在“GPO列下面，单击“ Linked Polici

22、es "，然后单击"链接顺序”列左侧的向上箭头。完成后，“Headquarters ” OU下面 GPO的链接顺序应该如图 8所示。图8. GPO链接顺序GPO备份、还原、复制以及导入备份GPOGPO备份操作将GPO中的数据复制到文件系统中。备份功能还具有 GPO导出功能。可使用GPO备份将GPO还原到已备份状态，或者将备份中的设置导入到另一个GPO中。GPO备份操作将GPO内部存储的所有信息保存到文件系统中。其中包括以下内容：? GPO全局唯一标识符（GUID）和域GPO设置? GPO中的自由访问控制列表（DACL）? WMI筛选器链接（如果有的话），但不包括筛选器本身?

23、到IP安全策略的链接（如果有的话）? GPO设置的可扩展标记语言（XML）报告（可将其视为 GPMC中的HTML）?备份的日期和时间戳?用户提供的备份说明GPO备份操作只保存在 GPO中存储的数据。在 GPO外面存储的数据包括以下内容：?至U站点、域或OU的链接? WMI筛选器? IP安全策略在将备份还原到原始 GPO或导入新GPO时，该数据不可用。要备份“ Domain Password Policy ” GPO请按照以下步骤操作：1. 在“组策略管理”窗口的“”树下面，单击“组策略对象”文件夹。2. 在“组策略对象”文件夹中，右键单击“ Domain Password Policy ” G

24、PO然后单击“备份”。3. 在“备份组策略对象”对话框中，键入“ c:windows”作为“位置”，键入“ Domain Password Policy Backup ”作为“描述”，然后单击“备份”。4. 在备份完成后，单击“确定”继续。管理备份 可以将多个相同或不同的 GPO 备份存储在相同的文件系统位置中。每个备份都使用唯一的备份 ID 来标识。可以使用 GPMC中的“管理备份”对话框或通过可编程接口来管理特定文件系统位置中的备份集合。可通过右键单击特定域中的 “域”节点或“组策略对象”节点来访问“管理备份”对话框。 在从“组策略对象”节点中打开“管理备份”时， 就会自 动对视图进行筛选

25、， 以便只显示该域的 GPO 备份。 在从“域”节点中打开“管理备份”对话框时， 将会显示所有备份 （无 论备份来自哪个域）。要管理可用的 GPO 备份，请按照以下步骤操作：1. 在“组策略管理”窗口的“”树下面， 右键单击“组策略对象”文件夹， 然后单击“管理备份”。 此时将出现“管理 备份”窗口，如图 9 所示。图 9. 管理备份2. 在“管理备份"窗口中，单击以突出显示先前创建的“ Domain Password Policy Backup",然后单击“查看设置"。3. 查看详细的 GPO 信息，然后关闭“ Internet Explorer ”。从备份还原

26、GPO还原操作从备份数据中重新创建GPO。可以在下列两种情况下使用还原操作：备份了 GPO但以后将其删除；或GPO处于活动状态,并且您要回滚到先前的已知状态。还原操作将替代以下GPO 组件。? GPO 设置? GPO 上的 DACL? WMI 筛选器链接（但不包括筛选器本身） 还原操作只能还原属于 GPO 的对象,其中包括到站点、域或 OU 的链接、 WMI 筛选器以及 IPSec 策略。要还原“ Domain Password Policy ” GPO请按照以下步骤操作：1. 在“管理备份”窗口中,单击“还原”。2. 在出现提示时,单击“确定”还原选定的备份。3. 在 GPO 还原完成后,单

27、击“确定”。4. 在“管理备份”对话框中,单击“关闭”。复制 GPO您可以使用复制操作,将 Active Directory中现有 GPO 的设置直接传送到新的 GPO 中。将为复制操作期间创建的新GPO指定一个新的 GUID，并且将其解除链接。可以使用复制操作，将设置传送到相同域、相同林的其他域或其他林的域 中的新GPO。因为复制操作将 Active Directory中的现有GPO作为源，所以源和目标域之间需要具有信任关系。复制操作适用于在生产环境之间移动组策略。 只要源和目标域之间具有信任关系， 就可以使用这些操作将测试域或林中经过测 试的组策略迁移到生产环境中。要复制GPO,请按照以下

28、步骤操作:1. 在""树下面的"组策略对象”文件夹中，右键单击“Enforced User Policies ” GPO然后单击“复制”。2. +）将树展开，然后单击“组策略对象”旁边的加号（+）将树展开。3. 右键单击“组策略对象”，然后单击“粘贴”。4. 在“跨域复制向导”中，单击“下一步”继续。5. 在“指定权限”屏幕上，选择“新GPO使用默认权限”（默认），如图 10所示，然后单击“下一步”。图10.跨域复制向导6. 在扫描完原始 GPO后，单击“下一步”继续。7. 在“完成跨域复制向导”屏幕上，检查设置，然后单击“完成”。8. 在完成复制操作后，单击“确定”。注意：1.导入GPO导入操作使用文件系统位置中的已备份GPO作为其源，将设置传送到 Active Directory中的现有GPQ可以使用导入操作，将一个 GPO的设置传送到相同域中的其他GPO相同林中其他域的GPO或不同林中域的 GPOo导入操作始终将已备份设置放在现有的 GPO中。它会清除目标GPO中预先存在的任何设置。导入并不要求源域和目标域之间具有信任关 系，因此，非常适用于在没有信任关系的林和域之间传送设置。将设置导入到GPO并不会影响其DACL;也不会影响站点、域或0U到该GPO的链接或者到 WMI筛选器的链