ActiveDirectory环境中使用组策略管理控制台.docx

1、ActiveDirectory环境中使用组策略管理控制台关于组策略管理控制台使用的逐步式指南该逐步式指南提供了在 Active Directory 环境中使用组策略管理控制台 (GPMC) 来支持组策略对象 (GPO) 的一般性指导。该指南并不提供 GPO 实施指导。本页内容 简介 概述 安装和配置GPMC管理组策略对象GPO 备份、还原、复制以及导入 GPO 建模简介逐步式指南Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构：安装 Windows Server 2003；配置 Active Direc

2、tory；安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。通用网络结构要求完成以下指南。在配置通用网络结构后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server

3、2005）来实施 Windows Server 2003 部署逐步式指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决

4、不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统 (DNS) 名称并未注册以便在 Internet 上使用。您不应在公共网络或 Internet 上使用此名称。此通用结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置的模型。概述Microsoft 组策略管理控制台 (GPMC) 是一个用于组策

5、略管理的新工具，它通过改进易管理性和提高效率帮助管理员更经济有效地管理企业。它包含一个新的 Microsoft 管理控制台 (MMC) 管理单元和一组可编程接口。GPMC 提供单一位置来管理组策略核心内容，从而简化了组策略的管理。它可以根据用户需要提供以下功能来满足最高的组策略部署要求。使组策略更易于使用的用户界面 (UI)。组策略对象 (GPO) 备份/还原。GPO 导入/导出和复制/粘贴以及 Windows Management Instrumentation (WMI) 筛选器。简化了对组策略相关安全功能的管理。GPO 设置和策略的结果集 (RSoP) 数据的超文本标记语言 (HTML)

6、 报告。将此工具中提供的策略相关任务编制成脚本（而不是将 GPO 设置编制成脚本）。过去，管理员需要使用几个 Microsoft 工具来管理组策略，如“Active Directory 用户和计算机”、“Active Directory 站点和服务”以及“策略的结果集”管理单元。GPMC 将这些工具中提供的现有组策略功能以及一些新功能集成到一个统一的控制台中。GPMC 中内置了对多个域和林管理的支持，因此，管理员可以方便地管理整个企业中的组策略。管理员可以完全控制在 GPMC 中列出哪些林和域，因而可以只显示环境的相关部分。注意：该逐步式指南只提供使用 GPMC 来管理 GPO 的指导，并不提

7、供有关其配置的指导。有关配置 GPO 的信息，请参见。先决条件安装和配置 GPMC安装 GPMCGPMC 安装是一个涉及运行 Windows Installer (.MSI) 程序包的简单过程。要下载最新版本，请参见 Windows Server System 组策略管理站点，网址为：。要安装组策略管理控制台，请按照以下步骤操作：1.在服务器“HQ-CON-DC-01”上，浏览到包含“”的文件夹，双击“”程序包，然后单击“下一步”。2.单击“我同意”，接受最终用户许可协议 (EULA)，然后单击“下一步”。3.单击“完成”以完成 GPMC 安装。在安装完成后，更新 Active Directo

8、ry 管理单元中站点、域和组织单位 (OU) 属性页上显示的“组策略”选项卡以提供到 GPMC 的直接链接。由于所有组策略管理功能都是通过 GPMC 提供的，因此，无法再使用先前在原始“组策略”选项卡上提供的功能。要打开 GPMC 管理单元，请按照以下步骤操作：1.在服务器“HQ-CON-DC-01”上，单击“开始”按钮，单击“运行”，键入“”，然后单击“确定”。注意：此外，也可以使用以下两种方法之一启动 GPMC。在“开始”菜单或“控制面板”中，单击“管理工具”文件夹中的“组策略管理”快捷方式。创建自定义的 MMC 控制台：单击“开始”按钮，单击“运行”，键入“MMC”，然后单击“确定”。指

9、向“文件”，单击“添加/删除管理单元”，然后单击“添加”。单击以突出显示“组策略管理”，单击“添加”，单击“关闭”，然后单击“确定”。为多个林配置 GPMC您可以方便地将多个林添加到 GPMC 控制台树中。默认情况下，只有在某个林与运行 GPMC 的用户林之间具有双向信任关系时，才能将其添加到 GPMC 中。您可以有选择地允许 GPMC 使用仅单向信任关系或根本不使用信任关系。通过突出显示树根目录中的“组策略管理”，从上下文菜单中选择“操作”，然后单击“添加林”，将另一个林添加到 GPMC 中。由于示例环境只包含单个林，因此，执行这些步骤超出了本逐步式指南的讨论范围。注意：在添加不受信任的林时

10、，将无法使用某些功能。例如，不能使用“组策略建模”，并且无法打开“组策略对象编辑器”以编辑不受信任的林中的 GPO。不受信任的林方案主要用于支持跨林复制 GPO。同时管理多个域GPMC 支持同时管理多个域，并且每个域在控制台中是按林进行分组的。默认情况下，GPMC 中只显示一个域。在首先使用预配置的管理单元 或自定义 MMC 控制台启动 GPMC 后，GPMC 将显示包含用于启动 GPMC 的用户帐户的域。通过添加和删除控制台中显示的域，您可以指定每个林中要使用 GPMC 管理的域。注意：即使您没有整个林的林信任关系，您也可添加外部信任域。默认情况下，要添加的域和用户对象域之间必须具有双向信任

11、关系。也可以通过使用“查看”菜单中的“选项”对话框禁用 GPMC 的信任检测功能，来添加具有单向信任关系的域。要添加外部信任域，您必须先使用“添加林”对话框，从包含外部信任域的林中添加一个域。在添加该林后，您可通过右键单击该林的“域”节点，然后单击“显示域”，在该受信任的林中添加任何域。1.在“组策略管理”窗口中，单击“林:”旁边的加号 (+) 将树展开，然后单击“域”旁边的加号 (+)。2.右键单击“域”，然后单击“显示域”。3.图 1. 显示域在 GPMC 的每个可用域中，可使用相同的域控制器来完成该域中的所有操作。这包括位于该域中的 GPO、OU、安全主体以及 WMI 筛选器上的所有操作

12、。另外，在从 GPMC 中打开“组策略对象编辑器”时，它始终将 GPMC 中的目标域控制器用于 GPO 所在的域。GPMC 允许您为每个域选择使用哪个域控制器。您可以选择四个选项之一。使用主域控制器 (PDC) 模拟器（默认选项）。使用任何可用的域控制器。使用运行 Windows Server 2003 家族操作系统的任何可用域控制器。如果您要还原包含组策略软件安装设置的已删除 GPO，该选项是非常有用的。使用指定的特定域控制器。1.2.3.单击“确定”继续。图 2. 更改域控制器管理组策略对象查看域 GPO在每个域中，GPMC 都提供了一个基于策略的 Active Directory 视图以

13、及与组策略关联的组件，如 GPO、WMI 筛选器以及 GPO 链接。GPMC 中的视图与“Active Directory 用户和计算机”MMC 管理单元中的视图类似，它们都显示 OU 分层结构。然而，GPMC 与该管理单元不同之处在于，它不显示 OU 中的用户、计算机和组，而显示链接到每个容器的 GPO 以及链接到这些 GPO 本身的 GPO。GPMC 中的每个域节点都显示以下项目。链接到该域的所有 GPO。所有顶级 OU、嵌套 OU 树状视图以及链接到每个 OU 的 GPO。显示域中所有 GPO 的“组策略对象”容器。显示域中所有 WMI 筛选器的“WMI 筛选器”容器。要查看与特定容器关

14、联的 GPO，请按照以下步骤操作：1.在“域”树下，单击“”树。此时将出现与该容器（域根目录）关联的 GPO，如图 3 所示。可将此概念应用于任何域容器。图 3. 域根目录中的 GPO要查看与特定域关联的所有 GPO，请按照以下步骤操作：1.在“域”树下，单击“”旁边的加号 (+)，然后单击“组策略对象”。搜索 GPO可以在林或域级别进行 GPO 搜索。通过使用单个或多个搜索参数，有助于在大量的 GPO 中缩小搜索结果的范围。要使用多个搜索参数在 林中查找特定 GPO，请按照以下步骤操作：1.在控制台树中，右键单击“林:”，然后单击“搜索”。2.在“搜索项”框中，选择“GPO 名称”，键入“P

15、assword”作为“值”，然后单击“添加”。3.在“搜索项”框中，选择“计算机配置”，选择“Security”作为“值”，然后单击“添加”。4.单击“搜索”。结果应该如图 4 所示。图 4. 基于条件的 GPO 搜索5.在返回搜索结果后，您可以执行以下操作之一：要打开 GPO 进行编辑，请单击“编辑”。要保存搜索结果，请单击“保存结果”。在“保存 GPO 搜索结果”对话框中，指定保存结果的文件名称，然后单击“保存”。要浏览到在搜索中找到的某个 GPO，请在搜索结果列表中双击该 GPO。要清除搜索结果，请单击“清除”。要关闭“搜索组策略对象”对话框，请单击“关闭”。确定 GPO 的作用域只能通

16、过正确地将 GPO 应用于要管理的 Active Directory 容器来实现组策略值。确定哪些用户和计算机接收 GPO 中的设置的过程称为“确定 GPO 的作用域”。确定 GPO 作用域的过程基于三个因素。GPO 链接到的站点、域或 OU 将 GPO 中的设置应用于用户和计算机的主要机制是，将 GPO 链接到 Active Directory 中的站点、域或 OU。链接 GPO 的位置称为“管理作用域”或 SOM（在前面的白皮书中也将其视为 SDOU）。SOM 共有三种类型：站点、域和 OU。可将一个 GPO 链接到多个 SOM，也可以将一个 SOM 链接到多个 GPO。要应用某个 GPO

17、，您必须将其链接到 SOM。GPO 上的安全筛选默认情况下，位于链接了 GPO 的 SOM 及其子对象中的所有 Authenticated Users（已授权用户）将应用 GPO 中的设置。通过管理 GPO 中的权限，您可以进一步细化哪些用户和计算机将接收 GPO 中的设置。这称为“安全筛选”。对于要应用于特定用户或计算机的 GPO，该用户或计算机必须拥有该 GPO 的“读取”和“应用组策略”权限。默认情况下，GPO 权限允许“Authenticated Users”组拥有这两个权限。这就是在将新 GPO 链接到 SOM（OU、域或站点）时，所有已授权用户接收该 GPO 设置的方法。但是，可以

18、更改这些权限，将 GPO 的作用域限定为它所链接到的 SOM 中的一组特定用户、组和/或计算机。GPO 上的 WMI 筛选器 通过使用 WMI 筛选器，管理员可以基于目标计算机属性（通过 WMI 实现）动态地确定 GPO 的作用域。WMI 筛选器由一个或多个查询组成，这些查询针对目标计算机 WMI 储存库的求值结果为真或假。WMI 筛选器是与目录中 GPO 不同的对象。要将 WMI 筛选器应用于某个 GPO，请将筛选器链接到该 GPO，如 GPO 的“作用域”选项卡上的“WMI 筛选”部分所示。每个 GPO 只能有一个 WMI 筛选器，不过，可以将同一个 WMI 筛选器链接到多个 GPO。在目

19、标计算机上应用链接到 WMI 筛选器的 GPO 时，将在该目标计算机上对该筛选器进行求值。如果 WMI 筛选器计算结果为假，则不应用 GPO。如果 WMI 筛选器计算结果为真，则应用 GPO。要确定在以前搜索中找到的“Domain Password Policy”GPO 的作用域，请按照以下步骤操作：1.在“搜索组策略对象”搜索结果窗格中，双击“Domain Password Policy”，然后单击“关闭”。注意：在关闭“搜索组策略对象”对话框后，以前选择的 GPO 在 GPMC 中具有焦点。此时将出现“GPO 作用域”页，如图 5 所示。图 5. 确定 GPO 的作用域要检查 GPO 将应

20、用的策略，请按照以下步骤操作：1.在“Domain Password Policy”结果窗格中，单击“设置”选项卡，然后单击“全部显示”。此时将显示所有已定义策略设置的摘要（如图 6 所示），但不显示未定义的设置。图 6. 检查 GPO 设置GPO 策略继承和链接顺序特定容器的“组策略继承”选项卡显示从父容器继承的所有 GPO（链接到站点上的 GPO 除外）。该选项卡中的“优先”列显示所有链接的总体优先级（这些链接将应用于该容器中的对象），并考虑“链接顺序”和每个链接的“强制”属性以及“阻止继承”。要查看容器中的策略继承，请按照以下步骤操作：1.在“组策略管理”窗口的“”树下面，展开“Acco

21、unts”OU，然后单击“Headquarters”OU，如图 7 所示。图 7. 组策略继承如果将多个 GPO 链接到相同的容器，并且这些 GPO 具有相同的设置，则必须有一个协调这些设置的机制。这种行为是由链接顺序控制的。链接顺序编号越小，优先级越高。特定容器链接的相关信息显示在该容器的“链接的组策略对象”选项卡中。该窗格显示是否强制进行链接，是否启用链接，GPO 状态，是否应用 WMI 筛选器，其修改时间以及存储它的域容器。委派了“将 GPO 链接到容器”权限的管理员或用户可以使用以下方法更改链接顺序：突出显示 GPO 链接，然后使用向上和向下箭头，在链接顺序列表中向上或向下移动链接。要

22、更改容器中的策略链接顺序，请按照以下步骤操作：1.在“Headquarters”屏幕上，单击“链接的组策略对象”。2.在“GPO”列下面，单击“Linked Policies”，然后单击“链接顺序”列左侧的向上箭头。完成后，“Headquarters”OU 下面 GPO 的链接顺序应该如图 8 所示。图 8. GPO 链接顺序GPO 备份、还原、复制以及导入备份 GPOGPO 备份操作将 GPO 中的数据复制到文件系统中。备份功能还具有 GPO 导出功能。可使用 GPO 备份将 GPO 还原到已备份状态，或者将备份中的设置导入到另一个 GPO 中。GPO 备份操作将 GPO 内部存储的所有信息

23、保存到文件系统中。其中包括以下内容：GPO 全局唯一标识符 (GUID) 和域 GPO 设置GPO 中的自由访问控制列表 (DACL)WMI 筛选器链接（如果有的话），但不包括筛选器本身到 IP 安全策略的链接（如果有的话）GPO 设置的可扩展标记语言 (XML) 报告（可将其视为 GPMC 中的 HTML）备份的日期和时间戳用户提供的备份说明GPO 备份操作只保存在 GPO 中存储的数据。在 GPO 外面存储的数据包括以下内容：到站点、域或 OU 的链接WMI 筛选器IP 安全策略在将备份还原到原始 GPO 或导入新 GPO 时，该数据不可用。要备份“Domain Password Poli

24、cy”GPO，请按照以下步骤操作：1.在“组策略管理”窗口的“”树下面，单击“组策略对象”文件夹。2.在“组策略对象”文件夹中，右键单击“Domain Password Policy”GPO，然后单击“备份”。3.在“备份组策略对象”对话框中，键入“c:windows”作为“位置”，键入“Domain Password Policy Backup”作为“描述”，然后单击“备份”。4.在备份完成后，单击“确定”继续。管理备份可以将多个相同或不同的 GPO 备份存储在相同的文件系统位置中。每个备份都使用唯一的备份 ID 来标识。可以使用 GPMC 中的“管理备份”对话框或通过可编程接口来管理特定文

25、件系统位置中的备份集合。可通过右键单击特定域中的“域”节点或“组策略对象”节点来访问“管理备份”对话框。在从“组策略对象”节点中打开“管理备份”时，就会自动对视图进行筛选，以便只显示该域的 GPO 备份。在从“域”节点中打开“管理备份”对话框时，将会显示所有备份（无论备份来自哪个域）。要管理可用的 GPO 备份，请按照以下步骤操作：1.在“组策略管理”窗口的“”树下面，右键单击“组策略对象”文件夹，然后单击“管理备份”。此时将出现“管理备份”窗口，如图 9 所示。图 9. 管理备份2.在“管理备份”窗口中，单击以突出显示先前创建的“Domain Password Policy Backup”，

26、然后单击“查看设置”。3.查看详细的 GPO 信息，然后关闭“Internet Explorer”。从备份还原GPO 还原操作从备份数据中重新创建 GPO。可以在下列两种情况下使用还原操作：备份了 GPO 但以后将其删除；或 GPO 处于活动状态，并且您要回滚到先前的已知状态。还原操作将替代以下 GPO 组件。GPO 设置GPO 上的 DACLWMI 筛选器链接（但不包括筛选器本身）还原操作只能还原属于 GPO 的对象，其中包括到站点、域或 OU 的链接、WMI 筛选器以及 IPSec 策略。要还原“Domain Password Policy”GPO，请按照以下步骤操作：1.在“管理备份”窗

27、口中，单击“还原”。2.在出现提示时，单击“确定”还原选定的备份。3.在 GPO 还原完成后，单击“确定”。4.在“管理备份”对话框中，单击“关闭”。复制 GPO您可以使用复制操作，将 Active Directory 中现有 GPO 的设置直接传送到新的 GPO 中。将为复制操作期间创建的新 GPO 指定一个新的 GUID，并且将其解除链接。可以使用复制操作，将设置传送到相同域、相同林的其他域或其他林的域中的新 GPO。因为复制操作将 Active Directory 中的现有 GPO 作为源，所以源和目标域之间需要具有信任关系。复制操作适用于在生产环境之间移动组策略。只要源和目标域之间具有

28、信任关系，就可以使用这些操作将测试域或林中经过测试的组策略迁移到生产环境中。要复制 GPO，请按照以下步骤操作：1.在“”树下面的“组策略对象”文件夹中，右键单击“Enforced User Policies”GPO，然后单击“复制”。2.+) 将树展开，然后单击“组策略对象”旁边的加号 (+) 将树展开。3.右键单击“组策略对象”，然后单击“粘贴”。4.在“跨域复制向导”中，单击“下一步”继续。5.在“指定权限”屏幕上，选择“新 GPO 使用默认权限”（默认），如图 10 所示，然后单击“下一步”。图 10. 跨域复制向导6.在扫描完原始 GPO 后，单击“下一步”继续。7.在“完成跨域复制

29、向导”屏幕上，检查设置，然后单击“完成”。8.在完成复制操作后，单击“确定”。注意：1.导入 GPO导入操作使用文件系统位置中的已备份 GPO 作为其源，将设置传送到 Active Directory 中的现有 GPO。可以使用导入操作，将一个 GPO 的设置传送到相同域中的其他 GPO、相同林中其他域的 GPO、或不同林中域的 GPO。导入操作始终将已备份设置放在现有的 GPO 中。它会清除目标 GPO 中预先存在的任何设置。导入并不要求源域和目标域之间具有信任关系，因此，非常适用于在没有信任关系的林和域之间传送设置。将设置导入到 GPO 并不会影响其 DACL；也不会影响站点、域或 OU

30、到该 GPO 的链接或者到 WMI 筛选器的链接。1.2.在“新建 GPO”对话框中，键入“Domain Password Policy”作为“名称”，然后单击“确定”。3.4.在“导入设置向导”中，单击“下一步”继续。5.在“备份 GPO”屏幕上，单击“下一步”继续，由于 GPO 当前没有策略定义，所以不进行备份。6.接受默认备份文件夹“c:windows”，然后单击“下一步”继续。7.由于“Domain Password Policy”是当前唯一的备份，所以默认选择该 GPO。单击“下一步”，开始从该 GPO 中导入设置。8.在扫描完 GPO 安全主体后，单击“下一步”，然后单击“完成”。9.在“导入设置向导”完成后，单击“确定”。1.GPO 建模组策略建模“组策略建模”模拟在管理员指定的环境中出现的情况。因为此模拟过程是由运行 Windows Server 2003 的域控制器上运行的一项服务完成的，所以至少需要有一个运行 Windows Server 2003 的域控制器。通过使用“组策略建模”，您可以模拟应用于现有配置的 RSoP 数据；或者通过模拟目录环境的假设性更改，然后计算该假设性配置的 RSoP 来进行“假定推测”分析。例如，您可以模拟安全组成员身份更改或 Active Directory 中用户或计算机对象位置更改。在 G