活动目录管理及维护-第三章组策略应用

Windows Server活动目录企业应用项目四 使用组策略管理用户地工作环境四.一有关知识识组策略是一种能够让系统管理员充分管理与控制用户工作环境地功能通过它来确保用户拥有符合组织要求地工作环境,也通过它来限制用户,这样不但可以让用户拥有适当地环境,也可以减轻系统管理员地管理负担。

本节介绍如何使用组策略来简化在Active Directory环境管理计算机与用户。

将了解组策略对象(GPO)结构以及如何应用GPO,还有应用GPO时地某些例外情况。

本节还将讨论Windows Server 二零一二提供地组策略功能,这些功能也有助于简化计算机与用户管理。

四.一.一组策略组策略是一种技术,它支持Active Directory环境计算机与用户地一对多管理,特点如图六-一所示。

图六-一组策略通过编辑组策略设置,并针对目地用户或计算机设计组策略对象(GPO),可以集管理具体地配置参数。

这样,只更改一个GPO,就能管理成千上万地计算机或用户。

组策略对象是应用于选定用户与计算机地设置地集合。

组策略可控制目地对象地环境地很多方面,包括注册表,NTFS文件系统安全,审核与安全策略,软件安装与限制,桌面环境,登录/注销脚本等。

通过链接,一个GPO可与AD DS地多个容器关联。

反过来,多个GPO也可链接到一个容器。

一．域策略域级策略只影响属于该域地用户与计算机。

默认情况下存在两个域级策略,如表六-一所示。

表六-一默认域级策略（域策略,域控制器策略）可以创建其它域级策略,然后将其链接到AD DS地各种容器,以将具体配置应用于选定对象。

例如,提供额外安全设置地GPO可应用于包含应用程序服务器计算机账户地组织单位。

又如,GPO可限制某个组织单位用户地桌面环境。

二．本地策略运行Windows 二零零零 Server或更高版本操作系统地每台计算机都有本地组策略。

此策略影响本地计算机以及登录到该计算机地任何用户,包括从该本地计算机登录到域地域用户。

组策略的作用和功能本页仅作为文档封面，使用时可以删除This document is for reference only-rar21year.March组策略的作用和功能1,组策略在windows域中的作用组策略是管理员为用户和计算机自定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可使用“组策略”为网络用户分发软件、设定用户可以运行的程序、自定义“开始”菜单并简化“控制面板”。

此外，还可添加能在计算机上(在计算机启动或停止时，以及用户登录或注销时)自动运行的脚本，甚至可配置Internet Explorer。

组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境，更加方便地管理整个网络。

但伴随着灵活性而来的是复杂性。

如何熟悉、熟练应用组策略是系统管理员必须解决的一个问题。

如果能够正确、灵活地运用组策略，就能使Windows系统发挥出更加强大的功能，为个人用户和企业用户带来更大的利益。

策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory对象并对它进行设置。

2,日常工作中，在windows单机模式下，组策略中有很多比较有用的功能，例如，本地安全策略。

本地安全策略是对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。

例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。

这些安全设置分组管理，就组成了的本地安全策略！。

活动目录、域及组策略-WindowsServer-WinOS中文技术论坛专注微...活动目录、域及组策略活动目录、域和组策略在很多用户那里都有所运用，如果刚开始接触这些内容时难免会觉得很复杂，这主要是因为专业名词太多，同时也许个人心理因素上存在畏难情绪，因此，在和客户交流过程中，有些发蒙，觉得底气不足，无法和客户继续沟通下去，也就无法了解客户企业完整的网络架构，那就无法从客户的实际环境出发，帮助客户提出一个完备的解决方案。

因此，今天我在这里对一些专业术语、易混淆的地方以及本人认为是难点的地方做一简单诠释，主要是做一个抛砖引玉，希望各位同仁指正。

活动目录活动目录存储整个网络上资源的信息，便于用户查找、管理和使用这些资源。

活动目录是Windows 2000网络中的目录服务。

它存储关于网络资源的信息，并使用户或应用程序可以访问这些资源。

活动目录使物理网络拓扑和协议透明化，这样网络上的用户可以访问任何资源，而不需要知道资源在什么地方，或物理上它是如何连接到网络上的。

以前我们访问网络资源，一是通过网上邻居，选择某个工作组，进入你所要访问的计算机，并且还需要目标计算机的用户名和密码才能访问上面的资源。

或者通过IPC$，输入目标计算机的IP地址和访问盘符，但是同样需要目标计算机的用户名和密码。

而通过活动目录，管理员可以把分布在网络各处各台计算机上的资源，比如打印机、共享文件，分门别类的放在一起。

活动目录提供对网络资源集中控制，允许用户只登录一次就可以访问整个活动目录的资源了。

用户打开网络邻居，所见到的不再是计算机，而是一个个目录文件夹形式：放着打印机资源的目录文件夹名称叫做打印机，技术部门的所有共享文件放在一个称做技术资料的目录文件夹中。

这就是活动目录名字的由来。

活动目录的对象代表网络资源，如用户、组、计算机和打印机。

而且，网络中所有的服务器、域和站点都作为对象。

因为活动目录代表了所有网络资源，只需要一个管理员就可以管理这些资源。

项目背景从前面地学习我们知道：通过AD DS地组策略（group policy）功能，可更容易地管理用户地工作环境和计算机环境，可以统一部署软件以及限制特定软件地运行，也可以利用组策略使安全性标准化，以控制环境。

总之，组策略地合理使用能够轻网络管理负担，并降低网络管理成本。

项目目标•组策略地处理规则•组策略地委派管理•Starter GPO地设置和使用•组策略管理实例6.1 相关知识域成员计算机在处理（应用）组策略时有一定地程序和规则，系统管理员必须了解它们，才能够通过组策略来管理用户和计算机地环境。

6.1.1一般地继承和处理规则组策略地设置是有继承性地，也有一定地处理规则。

图6-1 Active Directory用户与计算机--组织单位Ø若高层父容器地某个策略被设置，但是在其下低层子容器并未设置此策略地话，则低层子容器会继承高层父容器地这个策略设置值。

以图6-1来说明，若位于高层地域long若组织单位sales下还有其它子容器，且它们地这些策略也被设置为未配置，则它们也会继承这个设置值。

Ø若在低层子容器内地某个策略被设置，则此设置值默认会覆盖由其高层父容器所继承下来地设置值。

以图6-1所示，若位于高层地域longØ 组策略设置是有累加性地，例如若您在组织单位sales内建立了GPO ，同时在站点、域内也都有GPO，则站点、域和组织单位内地所有GPO 设置值都会被累加起来作为组织单位sales地最后有效设置值。

但若站点、域和组织单位sales之间地GPO设置有冲突，则优先圾为：组织单位地GPO最优先、域地GPO次之、站点地GPO优先权最低。

6.1.2 例外地继承设置除了一般地继承和处理规则外，您还可以设置下面地例外规则。

1．禁止继承策略以设置让子容器不要继承父容器地设置。

例如若不要让组织单位sales继承域long管理组策略相关知识图6-2 阻止继承管理组策略相关知识2．强制继承策略可以通过父容器来强制其下子容器必须继承父容器地GPO设置，无论子容器是否选择了阻止继承。

活动目录解决方案随着社交媒体和在线广告的普及，活动变得越来越多样化和复杂化。

现代的活动涉及到许多方面，包括活动的预算、日程安排、场地预订、营销，以及工作人员的招募等等。

活动目录解决方案旨在帮助组织者更高效地管理活动以及优化活动流程。

在本文中，我们将探讨活动目录解决方案的相关内容。

I. 活动目录解决方案的概念活动目录解决方案是指一种高效管理活动的工具或系统。

它的功能包括但不限于：维护预算、策划活动日程、处理活动场地申请、推行营销计划、进行预防措施（例如：灾难反应和风险管理计划）等。

活动目录解决方案的目的是确保活动在计划范围和预算内实现顺利的效果和产出。

通过实施活动目录解决方案，组织者能够更轻松地管理整个活动，节省时间和成本，并降低风险和误差的发生率。

II. 活动目录解决方案的优点活动目录解决方案相对于传统的管理方式，有以下优点。

1. 高效性和易用性。

活动目录解决方案可以简化组织者的工作流程，从而提高工作效率。

特别是对于那些需要同时管理多个活动的组织者来说，系统化地维护所有活动计划变得更加自然和无缝。

活动目录解决方案也提供了一些工具和功能，如事件日历、工作计划和记事本等，以优化活动管理。

2. 实现更好的沟通和协调。

活动目录解决方案可以更好地保持沟通和协调。

通过一个统一的系统，管理员和内部工作人员能够将所有活动关键数据和敏感信息共享。

这意味着所有有关部门的任何人都可以随时了解到当前状态和任何更改，从而更好地协调团队并避免重复操作。

此外，它还可以帮助组织者更好地与客户、供应商和其他相关人员沟通。

3. 提供更好的数据可视化和分析。

活动目录解决方案通常会记录活动相关的数据和信息。

这些数据可以用于生成各种统计信息、趋势分析或其他形式的报告。

通过对这些数据进行分析，组织者可以更好地管理和优化下一个活动，从而实现更好的质量和效益。

III. 实施活动目录解决方案的步骤如何实施一个成功的活动目录解决方案？下面是一些实施步骤和注意事项。

Windows 10组策略应用组策略是Windows操作系统中的一项重要功能，它可以帮助管理员对计算机或用户进行集中管理。

通过组策略，管理员可以控制和配置计算机上的各种设置，包括安全设置、网络设置、应用程序限制、桌面设置等等。

本文将详细介绍Windows 10组策略的应用，并提供相关实例和细节分析。

首先，我们来了解一下Windows 10的组策略功能。

组策略是通过活动目录域服务（Active Directory Domain Services，AD DS）来实现的。

AD DS是Windows Server操作系统的一项功能，它允许管理员在网络中集中管理用户、计算机和其他资源。

通过组策略，管理员可以在活动目录域中创建策略，并将这些策略应用于特定的用户组或计算机组。

一旦策略被应用，相应的设置将会自动在目标计算机上生效。

在Windows 10中，可以使用组策略编辑器（Group Policy Editor）来创建和配置组策略。

该编辑器提供了一个图形化界面，使管理员能够方便地进行设置和修改。

可以通过本地组策略编辑器（Local Group Policy Editor）来编辑本地计算机上的策略，也可以通过远程组策略管理（Group Policy Management）工具来编辑整个域中的策略。

组策略可以应用于计算机配置和用户配置。

计算机配置适用于计算机层面的设置，如启动脚本、安全设置、应用程序限制等。

用户配置适用于用户层面的设置，如桌面设置、应用程序访问、Internet设置等。

通过组策略可以为不同的计算机和用户提供不同的配置。

例如，可以通过组策略限制某些用户对特定程序的访问权限，或者通过组策略设置某些计算机的网络连接方式。

接下来，我们将深入讨论Windows 10组策略的一些常见应用。

1. 安全设置：通过组策略，管理员可以强制实施严格的安全设置，以保护计算机和网络的安全。

例如，可以通过组策略禁用不安全的网络协议和服务，限制用户对敏感文件和文件夹的访问权限，配置防火墙和安全审计等。

第一章部署WINDOWS 域什么是域？将网络中的计算机逻辑上组织在一起，将其视为一个整体，进行集中管理，叫做域什么是活动目录？活动目录是一种目录是一种服务什么是域控制器？是安装了活动目录服务的一台计算机什么是单域？网络中只建立了一个域，我们将其称之为单域什么是域树？域树是具有连续的名称空间的多个域什么是域林？域林是由一个或者多个没有形成连续名称孔明关键的域树组成安装域控制器的准备条件？（5 个条件）1、安装者必须具有本地管理员权限2、操作系统版本必须满足条件Windows NT ServerWindows 2000 ServerWindows Server 2003（除WEB 版）Windows Server 2008（除WEB 版）不能是客户端的操作系统3、本地磁盘至少有一个分区是NTFS 文件系统4、配置静态的ip 地址和子网掩码5、有足够的可用磁盘空间安装域控制器的命令？dcprmo 域功能级别有哪几个？（3 个）Windows 2000 ServerWindows Server 2003Windows Server 2008客户机加入域的条件？（2 个条件）确保该计算机和域控制器互相联通配置正确的DNS 地址组的类型有哪两个？有何区别？安全组和通讯组安全组：管理员通过赋予安全组访问资源的权限，而使得安全组所包含的用户也具有相应的权限，使用安全组而不是单独的用户可监护网络维护和管理工作通讯组：没有安全方面的功能，只能用作电子邮件的通信组的作用域有哪三个？有什么区别？什么是OU?本地域、全局、和通用本地域组成员来自于全局用用范围为本域或者是当前域全局组成员来自本地，作用范围为全局或任意域通用组成员来自于任意域，作用范围为任意域OU 是Active Directory 中的容器，可用在其中防止用户、组、计算机和其他OU 第二章域控管理安装额外域控制器的准备条件？（4 个条件）1、操作系统版本必须受当前域功能级别支持2、安装者必须具有域管理员权限3、计算机IP 地址和DNS 服务器地址配置正确（DNS 服务器地址通常为第一台域控制器的IP 地址）4、确保计算机和地一台域控制器的联通额外域控制器的好处？（3 个条件1、提供容错功能2、提供负载均衡3、更易于用户的连接和访问各个域功能级别支持的域控制器有哪些？Windows 2000 纯模式windows 2000 server 、windows server 2003 、windows server 2008 windows server 2003 windows server 2003 、windows server 2008 windows server 2008 windows server 20081 卸载域控制器的注意事项有哪几点？（4 点）1、如果该域内还有其他域控制器，则该域控制器会被降级为成员服务器2、如果该域控制器是域内最后一个域控制器，则该域控制器会被降级为独立服务器3、如果该域控制器担任了“全局编录”角色。

活动目录解决方案
《活动目录解决方案》
随着企业规模的不断扩大和团队的不断壮大，活动目录管理变得越来越复杂。

为了有效地管理员工的权限和资料，需要一个强大的活动目录解决方案来帮助企业实现高效的运营管理。

活动目录解决方案可以帮助企业实现统一的身份认证和访问控制，确保公司内部的信息安全。

通过活动目录解决方案，员工可以使用统一的用户名和密码访问公司内部的各种系统和应用，无需单独记录每一个系统的凭证。

这不仅提高了员工的工作效率，也减少了遗忘密码和密码管理的麻烦。

另外，活动目录解决方案还可以帮助企业实现统一的权限管理和资料共享。

管理员可以通过活动目录解决方案轻松地管理员工的权限，例如访问网络文件夹、使用打印机和扫描仪等。

此外，员工可以方便地共享文件和资料，无需通过电子邮件或其他方式来传输资料，大大提高了团队协作的效率。

在数据安全方面，活动目录解决方案也起到了重要的作用。

管理员可以通过活动目录解决方案监控员工的网络活动，及时发现异常行为并采取相应的措施。

此外，活动目录解决方案还可以帮助公司建立审计机制，记录员工的操作记录和访问日志，帮助企业在出现问题时快速定位和解决。

总的来说，活动目录解决方案是现代企业管理的重要工具，帮助企业实现统一身份认证、权限管理和数据安全。

通过选择合
适的活动目录解决方案，企业可以提高员工的工作效率，加强团队合作，同时保护企业的数据安全，为企业的发展提供有力的支持。

实验8 组策略应用一、实验目的：1、学会使用本地组策略对象。

2、在域上实现组策略对象。

3、管理组策略的部署。

4、熟练向客户端指派与发布软件。

二、实验环境两台windows server 2003计算机。

三、实验步骤：1.实现组策略对象A.首先创建组织单位（在域节点下创建名为“第六组”的组织单位并在其下创建名为“sales”marketing 的组织单位。

在“sales”下创建“company”组 .“wangwj”“yanlr”和“caozy”是“company”组的成员，在“marketing”下创建“group”组,“wangl”、“wangmj”和“dinghl”是“group”组的成员。

）2．在域中实现组策略对象A、打开“MMC”。

B、添加“组策略管理”管理单元，保存“MMC”。

C、在“组策略管理”的控制台树中，展开准备在其中创建组策略对象的域所在的林，再展开“域”，然后展开该域。

D、右击“组策略对象”，然后单击“新建”。

E、在“新建GPO”对话框中输入新组策略对象名称，然后单击“确定”。

如需创建组策略对象并使之链接到域，右键单击该域，然后单击“创建并链接GPO”。

如需创建组策略对象并使之链接到组织单位，展开包含组织单位的域，右键单击该组织单位，然后单击“创建并链接GPO”(如“managers”连接到“marketing”，“personnel”连接到“sales”)3．组策略部署管理A、在“组策略管理”控制台树中，定位到“组策略对象”。

右键单击一个组策略对象，然后单击“编辑”。

B 、在“组织策略对象编辑器”中，定位到需要编辑的组策略设置，然后双击该设置。

C、在“属性”对话框中，配置组策略设置，然后单击“确定”。

（如“managers”右键单击，指向“编辑”，展开其中的“用户配置”中的“管理模板”，点击“控制面扳”，在右侧的细节框里双击“禁止控制面扳”。

在随后出现的属性框中选中“已启用”。

《Windows活动目录管理》课程标准适用专业：计算机网络专业课程编码：C3-1-3开设时间：第6阶段课时数：36一、课程概述《Windows活动目录》是湖南铁道职业技术学院计算机网络专业的一门专业拓展课程。

课程的主要内容包括：活动目录的基本概念、活动目录基本管理任务、组策略的管理与应用、管理活动目录的信任关系、对活动目录数据库的管理及对活动目录进行恢复等。

本课程学分为1.5学时，总教学时数为36学时，其中理论课时与实践课时各占一半。

通过本课程的学习使学生掌握活动目录的逻辑结构组成，掌握活动目录的基本管理任务，掌握组策略的应用，了解活动目录数据库的管理与维护，初步具备Windows 活动目录的管理的能力。

二、培养目标1．方法能力目标：（1）独立学习能力；（2）职业生涯规划能力；（3）获取新知识能力、信息搜索能力；（4）决策能力；（5）理论联系实际的能力和严谨的工作作风；2．社会能力目标：（1）培养学生的沟通能力及团队协作精神；（2）培养学生分析问题、解决问题的能力；（3）培养学生敬业乐业的工作作风；（4）培养学生的表达能力；3．专业能力目标：（1）掌握Windows活动目录的基本管理任务；（2）掌握组策略的创建、继承、解决组重策略冲突、组策略部署、GPMC工具的使用；（3）学生通过学习能解决在企业中如何利用组策略来管理用户的工作环境和实现软件部署；（4）培养应用Windows活动目录对网络资源进行管理的技能；三、与前后课程的联系1．与前续课程的联系《Windows网络操作系统》课程让学生了解网络操作系统域管理与使用、掌握建立域的方法、掌握域用户与组账户的管理等操作与技能。

2．与后继课程的关系该课程为学生后续课程《网络组建与维护》、毕业设计等课程提供操作保障。

四、教学内容与学时分配根据职业岗位网络管理工程师的要求，将本课程的教学内容分解为14个项目。

五、教材的选用1．教材选取的原则教材选用时遵循“够用、实用”的原则，以真实任务为驱动，在真实环境和任务中介绍Windows活动目录的相关知识，采用“理论实践一体化”的教学思想，符合“做中学，学中做”的教学理念。

活动目录的组策略及应用实验目的掌握AD的组策略的设置方法实验内容 1.设置任务栏开始菜单中的选项2.启动脚本的设置实验过程一、设置任务栏开始菜单中的选项把开始菜单中的“搜索”去掉。

（注：组策略对象设置仅能在域控制器上进行）1．开启虚拟机（作服务器），设置固定IP地址（IP+70）；修改计算机名为：L**B，重启生效。

（**为机号）2．开始→运行，输入dcpromo，安装活动目录。

3．安装完AD后检查设置禁用密码复杂性：开始→管理工具→域安全策略→安全设置→帐户策略→密码策略，设置“密码必须符合复杂性要求”为禁止；设置“密码最小长度”值为7个字符。

4．执行开始→管理工具→AD的用户和计算机，右击D**B→新建→组织单位，新建一个xcxy的组织单位（OU）；右击xcxy→新建用户xqb，密码1234567，密码永不过期，并把其加入到Administrators组。

5．打开XCXY的属性页→组策略→新建→XCXY1_GPO组策略对象。

6．编辑组策略对象XCXY1_GPO，打开组策略设置窗口，选择用户配置→管理摸板→任务栏和开始菜单，删除“搜索”菜单→为启用。

7．组策略刷新：开始→运行：gpupdate /force，使新设置的组策略生效。

8．用xcxy的组织单位中用户登录验证：开始→重新启动，输入用户xqb→密码1234567，登录，在开始菜单中则无“搜索”项。

9．恢复原设置：用Administrator登录，编辑XCXY1_GPO，从任务栏删除“搜索”菜单→为禁止，不能选“未配置”，组策略刷新，则恢复原配置。

二、.启动脚本（Scripts）的设置启动过程中显示一句话“欢迎使用Windows 2003 Server的组策略进行启动提示脚本的设置！！！！！”点按确定后向下进行。

1．用记事本编辑一logon.txt文本如下：Wscript.echo “欢迎使用Windows 2000 Server的组策略进行启动提示脚本的设置！！！！！”。

Windows Server 2003活动目录管理方案--组策略的应用张娟莉
【期刊名称】《福建电脑》
【年(卷),期】2015(31)8
【摘要】针对现有企业网络管理维护的弊端，本文研究了活动目录(AD)和组策略的基本概念和主要技术特点；分析了Windows AD和组策略的工作原理。

最后搭建了AD域平台，利用组策略来管理Windows域。

该方法提高了工作效率，减轻管理员工作负担。

【总页数】2页(P62-63)
【作者】张娟莉
【作者单位】渭南师范学院数学与信息科学学院陕西渭南 714000
【正文语种】中文
【相关文献】
1.利用Windows server 2003组策略部署软件 [J], 刘鹏飞;李伟
2.Windows server 2003组策略运行机制分析研究 [J], 李德水;陈聪
3.Windows Server 2003组策略在钱江晚报超级信息港中的应用 [J], 李磊
4.组策略让Windows Server 2003"开足马力" [J],
5.Windows Server 2003组策略管理控制台——统一而集中的组策略部署与管理[J], SeanDeuby
因版权原因，仅展示原文概要，查看原文内容请购买。