22-实验二十二：域组策略应用1-参考步骤

域控组策略-概述说明以及解释1.引言1.1 概述概述部分的内容可以介绍域控和组策略的基本概念，以及它们在网络管理中的重要性。

概述部分的内容参考如下：概述在网络管理和组织架构中，域控和组策略是两个非常关键的概念。

域控（Domain Controller）是一种服务器，它在Windows域中负责认证用户身份、授权访问和分发安全策略等功能。

而组策略（Group Policy）则是一种集中管理和配置网络中计算机和用户设置的技术。

域控作为网络中的核心设备，建立了一个集中化的用户认证和权限控制的环境。

它可以集中管理用户账号、用户组、计算机对象等，并提供了统一的访问管理、资源分配和权限控制等功能。

通过域控，网络管理员可以更加方便地管理和维护整个网络系统，提高了网络的可管理性和安全性。

组策略则是建立在域控基础上的一种重要管理工具。

通过组策略，管理员可以向域中的计算机和用户应用一系列的设置和配置，如安全策略、账号策略、软件安装、桌面设置等。

组策略可以实现集中管理和自动化配置，大大减少了管理员的负担，提高了网络管理的效率和一致性。

域控和组策略之间存在着密切的关系。

域控提供了组策略的基础环境，并作为组策略的执行者和分发者。

通过域控，组策略可以被应用到特定的用户或计算机上，并实施相关的配置和规则。

域控和组策略的结合，使得网络管理更加便捷和高效。

在现代网络管理中，域控和组策略越发显得重要。

随着网络规模的不断扩大和复杂化，有效的网络管理变得尤为关键。

域控和组策略的实施能够极大地提升网络的安全性、可管理性和灵活性，减少因人为操作而导致的错误和安全风险。

同时，随着技术的不断发展，域控和组策略也在不断创新和进化，以适应新的网络环境和需求。

总之，域控和组策略是网络管理中的重要概念。

它们的结合和有效应用，将为网络管理员提供强大的管理工具，保障网络的正常运行和安全性。

文章结构部分是介绍本篇长文的组织结构和内容安排。

通过明确文章的结构，读者可以更好地理解文章内容的组织和逻辑关系。

域控中组策略基本设置
在Windows域控制器中，组策略是一种非常重要的工具，用于管理网络中的计算机和用户。

组策略允许系统管理员在网络上部署、管理和强制执行特定设置，以确保网络安全性和一致性。

下面将详细介绍域控制器中组策略的基本设置。

1.创建和链接组策略：
-打开“组策略管理”控制台，右键单击“域”节点，选择“创建一个或多个GPO，并将其链接到此处”
-输入策略名称，点击“确定”创建策略
-右键单击域或OU（组织单位），选择“链接已存在的GPO”
-选择需要链接的策略，点击“确定”
2.应用组策略：
-应用到特定的OU：选择需要应用策略的OU，右键单击，选择“应用组策略”
- 更新组策略：使用命令行工具gpupdate /force强制更新策略
3.用户配置：
4.计算机配置：
5.安全设置：
6.软件安装：
7.文件共享：
8.IE设置：
9.桌面配置：
10.AUDIT策略：
值得注意的是，组策略设置在域控制器上只对处于该域中的计算机和用户生效。

通过组策略，管理员可以集中管理网络中的资源和安全策略，并确保网络中的计算机和用户的行为符合组织的政策和要求。

完成以上设置后，管理员需定期检查组策略的运行情况，保证其有效性和及时性。

域组策略域控中组策略基本设置
组策略是域控中的一项重要功能，它允许管理员集中管理域中的计算机和用户。

组策略可以通过设置一系列规则和限制来控制域中的计算机和用户的行为和配置。

在组策略基本设置中，管理员可以执行以下操作：
2.链接组策略到组织单位或域对象：管理员可以将组策略链接到特定的组织单位或域对象上。

链接组策略到组织单位将使该策略应用于组织单位下的所有计算机和用户。

链接组策略到域对象将使该策略应用于整个域中的所有计算机和用户。

3.启用和禁用组策略：管理员可以启用或禁用组策略，以控制该策略是否应用于目标计算机和用户。

禁用组策略将导致不应用该策略中定义的所有设置和规则。

4.强制组策略：管理员可以通过强制组策略来立即应用组策略中的设置和规则。

强制组策略可以用于快速应用新的或更改的设置，而无需等待组策略刷新。

5.优先级设置：管理员可以为链接到同一组织单位或域对象的多个组策略设置优先级。

优先级较高的组策略将覆盖优先级较低的组策略中的相同设置和规则。

7.备份和恢复组策略：管理员可以备份组策略的配置，并在需要时进行恢复。

这样可以确保即使发生意外情况，管理员也能轻松地恢复组策略的设置。

8.详细日志和审计：系统还提供了详细的日志和审计功能，记录组策略的所有修改和应用。

管理员可以使用这些日志来跟踪和审计组策略的变更历史。

使用域组策略/脚本统一配置防火墙目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置；统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法；1 域组策略统一配置防火墙使用域管理员登录域控制器，打开“管理工具>组策略管理”；在目标组织单位右击，新建GPO；1.1 禁用客户端防火墙1.1.1 域策略配置右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务；结果如下；1.1.2 查看客户端结果重启XP客户端查看结果重启Win7客户端查看结果1.2 开放客户端防火墙端口（注：首先将上面组策略中的系统服务设置还原在进行下一步的配置）1.2.1 域策略配置右击目标GPO选择编辑，选择“ 计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；组策略设置描述Windows 防火墙: 保护所有网络连接用于指定所有网络连接都已启用Windows 防火墙。

Windows 防火墙: 不允许例外用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。

Windows 防火墙: 定义程序例外用于通过应用程序文件名定义已添加到例外列表的通信。

Windows 防火墙: 允许本地程序例外用于启用程序例外的本地配置。

使用组策略配置域中任务计划组策略（Group Policy）是Windows域中一种集中管理计算机和用户配置的技术。

通过使用组策略，管理员可以轻松地配置和部署计算机和用户的设置，以便满足组织的安全性、合规性和操作需求。

其中一种常见的使用组策略的场景是配置任务计划。

在本文中，将介绍如何使用组策略配置域中的任务计划。

如果要配置计算机级别的任务计划，可以展开"计算机配置"，然后选择"Windows 设置" -> "安全设置" -> "任务计划程序"。

在右侧的窗格中，可以看到数个可配置的选项。

要创建一个新的任务计划，可以使用右侧窗格中"任务计划程序库"的选项。

右键单击"任务计划程序库"，选择"新建任务计划"。

在弹出的对话框中，指定新任务计划的名称和描述。

然后点击"下一步"。

在下一步中，可以选择计划任务执行的触发器。

可以根据需要选择不同的触发器类型，例如在每天指定时间执行、在登录时启动或在特定事件发生时执行。

选择合适的触发器后，点击"下一步"。

在下一步中，可以指定要执行的操作。

可以选择运行程序、脚本或发送电子邮件等操作。

根据不同操作的需求，选择合适的选项，并配置相关的参数。

完成后，点击"下一步"。

在下一步中，可以选择任务计划的安全选项。

这些选项包括指定运行任务的账户、配置运行任务时的权限以及是否将任务计划设置为隐藏。

根据组织的需求进行相应的配置，并点击"下一步"。

在最后一步中，可以对任务计划进行最后的概述和配置检查。

确认任务计划的设置无误后，点击"完成"。

现在已经创建了一个新的任务计划。

要配置任务计划的其他设置，可以在任务计划程序库中选择相应的任务计划，然后右键单击并选择"属性"。

域组策略应用详解域组策略是一种Windows Active Directory环境中的管理工具，它允许管理员集中管理多台计算机的安全策略和配置。

通过域组策略，管理员可以实现对域内计算机的用户账户、密码策略、软件安装、网络连接和访问控制等进行统一的管理与控制。

以下是对域组策略的详细解析。

1.域组策略的作用与优势域组策略的主要作用是提供一种集中管理和控制计算机的方式，帮助企业或组织实施统一的安全策略，并降低管理成本。

以下是域组策略的一些优势：-统一管理：通过域组策略，管理员可以在整个域内管理和控制所有计算机的安全策略和配置，无需分别配置每台计算机，简化了管理流程。

-集中控制：域组策略可以集中控制所有计算机的用户账户、密码策略、软件安装、网络连接和访问控制等，确保整个域内的计算机都遵循相同的安全标准。

-统一更新：通过域组策略，管理员可以轻松地对所有计算机进行安全策略的更新和修改，确保所有计算机都能及时获得最新的安全补丁和配置。

2.域组策略的组件域组策略由以下几个重要的组件组成：-组策略对象（GPO）：是域组策略的核心组件，它包含了一组安全策略和配置项，可以应用给特定的域、组或用户。

-组策略文件夹：存储域内所有组策略对象的文件夹，通常存放在域控制器的系统目录下。

-组策略客户端扩展（CSE）：是一种在计算机或用户执行组策略时生效的软件组件，用于解析和处理组策略配置。

3.域组策略的配置和应用域组策略的配置和应用主要包括以下几个步骤：-将组策略对象应用到域、组或用户：通过将组策略对象链接到特定的域、组或用户上，使其生效。

可以通过域控制器上的“组策略管理”工具来实现。

- 强制更新和刷新组策略：可以使用“gpupdate”命令来强制计算机或用户立即更新和刷新组策略，或等待策略刷新的策略设置。

-监测和审核组策略的应用：可以通过策略审计和事件日志来监测和审核组策略的应用情况，以及统计计算机和用户的符合策略的状态。

4.域组策略的常见应用场景域组策略在企业或组织中有多种应用场景，以下是其中一些常见的应用场景：-账户和密码策略：通过域组策略，管理员可以设置和控制用户账户的安全策略和密码策略，例如密码复杂性要求、账户锁定策略等。

一、访问组策略　1.输入gpedit.msc命令访问:选择“开始”→“运行”(或快捷方式：Win+R)，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口。

组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。

这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点（如图一），节点下面还有更多的节点和设置。

此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。

“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。

“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。

但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。

其中“管理模板”设置最多、应用最广，因此也是本文的重中之重。

图一：下面我们就进入“用户配置”，去细细探测它的奥秘：1、在软件设置里面没有什么重要内容，我们省去介绍吧（不信你看看）；2、那我们先看看“windows设置”里的内容（如图二全结构图：）：在“windows设置”的节点下有“脚本”、“安全设置”和“IE维护”三个节点，其中“脚本”下包含“登录”和“注销”两个脚本，其功能（属性）是设置“登录”和“注销”时的桌面背景！在“安全设置”里面没有什么实质内容，现我们就忽略它吧！《而对于“计算机配置”的“安全设置”的下节点里，多了三个小节点，其一是“密码策略”，它可以设置我们对用户的密码要求及密码保留时间等，因此，当你设置后，你的密码设置就必须符合这要求。

其二是“帐号锁定策略”，它可以设置帐号无效登录系统的次数和帐户被锁定时间。

其三是“IP安全策略”，其功能是计算机的客户端和服务端的IP的安全管理，其效果倒是很难体验到哈。

域策略应用过程详解我们知道用户在登录域客户端的时候，会去应用组策略，那么这个过程究竟是怎样去完成的呢？大体上可以分为两步，第一步是验证过程；验证通过后，客户端会去找DC查询需要应用哪些组策略，然后一一应用。

下面我们就来一探究竟：1. 客户端查找DC并进行身份验证1) 客户端通过自身的netlogon服务，去向DNS服务器查找域内的PDC、GC、KDC、LADP等SRV记录；先查询站点内的前述记录，若无，则查找全局内的上述记录。

2) 查找到相关记录之后，DNS会按照优先级和权重排序返回各项记录，客户端会按照先后顺序去连接第一个服务器的LDAP协议的389端口；若第一个不响应，则去连接第二个。

3) 直到某一个DC响应后，客户端检查DC是否有其需要的相关信息。

如果有，客户端开始登陆，哪个DC先响应请求，客户端就找其做身份验证。

4) 客户端缓存DC的相关信息，以便在下次登录的时候直接使用。

以上是客户端查找DC验证的过程，实际上，在验证过后，顺带就会去应用组策略，那么组策略究竟是按照怎样的顺序和原则去应用的呢？2. 应用组策略过程1) 我们知道DC启动时，会向DNS宣告自己的角色，DNS服务器接受宣告后，更新DNS数据库中DC对应的资源记录。

2) 客户机登录时会联系DNS服务器，寻找适当的DC进行身份验证，过程如上所述。

验证通过后，DC告诉客户机所属的站点信息，域信息，以及OU信息。

3) 客户机获取到这些信息后，就会找到相应的域控，会检查它所在的OU中链接了哪些组策略，就可以查询到正确的GPO列表。

并去检查每一个GPO的最新版本，这部分数据存储在AD数据库的GPC数据中。

4) 客户端知道自己应该去应用哪些组策略，并且知道这些组策略的最新版本后，就会去查找GPO的GPT部分，即每一条组策略的配置信息部分。

这部分数据存储在默认域共享的sysvol文件夹中。

然后根据Unique ID 找到Sysvol文件夹定位对应的组策略模板。

域控器的组策略应用设置大全组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。

此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。

例如要删除“我的文档”，只需在“删除桌面上的…我的文档?图标”一项中设置即可。

若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上…网上邻居?图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的…我的文档?图标”和“删除桌面上的…我的电脑?图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

实验8 组策略应用一、实验目的：1、学会使用本地组策略对象。

2、在域上实现组策略对象。

3、管理组策略的部署。

4、熟练向客户端指派与发布软件。

二、实验环境两台windows server 2003计算机。

三、实验步骤：1.实现组策略对象A.首先创建组织单位（在域节点下创建名为“第六组”的组织单位并在其下创建名为“sales”marketing 的组织单位。

在“sales”下创建“company”组 .“wangwj”“yanlr”和“caozy”是“company”组的成员，在“marketing”下创建“group”组,“wangl”、“wangmj”和“dinghl”是“group”组的成员。

）2．在域中实现组策略对象A、打开“MMC”。

B、添加“组策略管理”管理单元，保存“MMC”。

C、在“组策略管理”的控制台树中，展开准备在其中创建组策略对象的域所在的林，再展开“域”，然后展开该域。

D、右击“组策略对象”，然后单击“新建”。

E、在“新建GPO”对话框中输入新组策略对象名称，然后单击“确定”。

如需创建组策略对象并使之链接到域，右键单击该域，然后单击“创建并链接GPO”。

如需创建组策略对象并使之链接到组织单位，展开包含组织单位的域，右键单击该组织单位，然后单击“创建并链接GPO”(如“managers”连接到“marketing”，“personnel”连接到“sales”)3．组策略部署管理A、在“组策略管理”控制台树中，定位到“组策略对象”。

右键单击一个组策略对象，然后单击“编辑”。

B 、在“组织策略对象编辑器”中，定位到需要编辑的组策略设置，然后双击该设置。

C、在“属性”对话框中，配置组策略设置，然后单击“确定”。

（如“managers”右键单击，指向“编辑”，展开其中的“用户配置”中的“管理模板”，点击“控制面扳”，在右侧的细节框里双击“禁止控制面扳”。

在随后出现的属性框中选中“已启用”。

域控制器管理--组策略应用案档组策略（Group Policy）是一种在Windows域网络中用于集中管理计算机配置、用户设置和安全策略的功能。

通过组策略，系统管理员可以从域控制器上管理所有计算机和用户的设置，实现统一管理和控制。

下面是一个使用组策略的应用案例。

假设公司拥有多个部门，每个部门都有一批计算机和用户。

为了满足公司的信息安全需求，系统管理员需要在所有部门的计算机上禁用USB存储设备。

为了实现这一目标，管理员可以通过组策略来管理。

首先，管理员需要在域控制器上创建一个新的组织单位（OU），用来存放要管理的部门的计算机和用户。

然后，在该OU上创建一个新的组策略对象（GPO），命名为“禁用USB存储设备”。

在“可移动存储访问”设置窗口中，管理员可以将“所有可移动存储访问设备”选项设置为“禁止”。

这样就可以禁用所有USB存储设备，包括U盘、移动硬盘等。

完成配置后，管理员需要将这个GPO链接到要管理的部门的OU上。

在组策略管理器中，选中目标OU，然后右键点击，选择“链接现有的GPO”。

在弹出的窗口中，选择刚刚创建的“禁用USB存储设备”G PO，并点击“确定”。

此时，这个GPO已经成功地链接到了目标OU上。

接下来，管理员需要确保这个GPO生效。

可以使用组策略管理器中的“组策略结果”功能来检查GPO的生效情况。

管理员可以选择要查询的目标计算机和用户，然后点击“显示”进行查询。

如果一切正常，禁用USB存储设备的策略会生效，所有属于目标OU 的计算机上的USB存储设备将被禁用。

除了禁用USB存储设备，组策略还可以实现很多其他的管理功能。

比如，可以通过组策略来设置密码策略、配置网络连接、管理桌面Wallpaper、限制程序运行等。

总而言之，组策略是在域控制器管理中非常重要的一项功能。

通过组策略，系统管理员可以集中管理和控制所有计算机和用户的配置和设置。

通过以上案例，我们可以看到组策略在信息安全方面的应用，为公司提供了统一的管理和安全保障。

实验二十三域组策略应用（二）实验环境某公司利用域环境来实现企业网络管理，公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置1 所有域用户不能随便修改背景，保证公司使用带有公司LOGO的统一背景。

2. 所有域用户不能运行管理员已经限制的程序，比如计算器，画图等。

3 配置域用户所有IE的默认设定为本企业网站，保证员工打开IE 可以直接访问到公司网站。

且用户不能自行更改主页4 禁止域用户使用运行，管理员除外。

防止打开注册表等修改系统配置。

只有管理员处于管理方便目的，可以使用运行。

5保证域用户有关机权限，保证员工下班可以自行关机，节省公司资源。

6 关闭2003的事件跟踪，公司使用其他手段监控用户计算机。

7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。

8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加windows组件，造成系统问题。

9 取消自动播放，以防止插入U盘有病毒，自动运行病毒10 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于IP地址冲突造成网络混乱。

实验目的1 所有域用户不能随便修改背景2 所有域用户只能运行规定的程序3 所有域用户帐号打开IE默认主页为4 所有域用户帐号无法使用运行,管理员可以使用运行5 域用户帐号可以关机6 域用户帐号关机时没有事件跟踪提示7 域用户帐号看不到C盘8 域用户帐号在控制面板中看不到”添加删除windows组件”9 取消自动播放10 管理员可以使用本地连接－属性,任何域用户帐号不可使用．实验准备1 一人一组2 准备两台Windows Server 2003虚拟机(一台DC,一台成员主机)3 实验网络环境192.168.8.0/24实验步骤1 所有域用户不能随便修改背景，保证公司使用带有公司LOGO的统一背景。

设置所有帐号统一背景，先创建共享，把共享图片放入，授权设置域的组策略保证用户不可以更改桌面，对域修改组策略刷新策略验证效果，用帐号benet,所有帐号登录，可以看到同样桌面，且无法更改。

如何使用域的组策略来分发软件我现在是已经创建了一个域控制器，并且把3台机器已经加入到域控制器里面了。

怎样配置组策略，才可以让一个MSI安装程序，在加入域的机器开机的时候直接安装到本地，而不用再安装客户端程序了。

我现在已经实现了域控制器安装，就不能实现加入该域的机器安装，分配应用程序打开“软件安装”管理单元，单击控制台中的“软件安装”节点。

位置Group_Policy_object_name计算机配置（或用户配置）软件设置软件安装右键单击详细信息窗格，单击“新建”，然后单击“软件包”。

在“打开”对话框中，单击要分配的“Windows 安装程序”软件包，然后单击“打开”。

（“打开”对话框将显示位于默认软件分发位置的软件包。

有关如何设置默认软件分发位置的指示，请参阅相关主题。

）如果Windows 安装程序包位于不同的网络共享位置，请单击“浏览”查找该软件包的分发位置。

在“部署软件”对话框中，单击“已分配”，然后单击“确定”。

/softxue/9/cai/0013.htm13.1.3.1 指派指派：当希望所选组策略对象中的每个用户均可以在计算机上安装该应用程序，可采用指派应用程序步骤1 从"Active Directory 用户和计算机"、"Active Directory 站点和服务"或作为独立的Microsoft 管理控制台管理单元打开组策略。

步骤2 要对计算机分配软件，请双击"计算机配置"。

要对用户分配或发布软件，请双击"用户配置"。

步骤3 双击"软件设置"。

步骤4 在控制台树中，单击"软件安装"，然后单击"操作"菜单，选择"新建"，选择"程序包…" 如图13.4步骤5 选择Windows 安装程序包，选择部署方式"已指派"如图13.5。

企业部署Windows域实验案例（基于Windows Server 2008）前言：工作组网络模型只适合小型网络，如果企业网络中计算机和用户账户数量较多时，我们可以通过使用Windows域，对网络资源进行集中管理，提高工作效率。

本篇博文通过两个案例的实施，介绍了创建Windows域并将计算机加入域，在域环境下如何对账户、组以及OU进行管理等。

在小型网络中，管理员通常单独管理每一台计算机，每台计算机都是一个独立的管理单元。

例如，在每台计算机中都需要为访问它的用户创建用户账户。

但当网络规模扩大到一定程度后，如超过10台计算机，每台计算机需要有10个用户访问，那么管理员就要创建100个以上的用户帐户，相同的工作就要重复很多遍。

虽然可以将用户需要访问的资源集中到某台服务器，但在实际中，并不是所有资源都可以很方便的集中在服务器上。

此时可以将网络中的计算机逻辑上组织到一起，将其视为一个整体，进行集中管理，这种区别于工作组的逻辑环境叫做Windows域，域是组织与存储资源的核心管理单元。

----------------------------------------------------------------------案例环境一：安装活动目录某公司有100多台计算机和100多名员工，现在需要集中管理计算机、用户账户以及其他网络资源。

需要建立Windows Server 2008域，域名为。

案例描述：1）在服务器DC01上安装活动目录，域名为“”2）将客户机加入域3）创建域用户账户案例实施：1）检查DC01是否满足安装活动目录的条件。

一台计算机要安装成DC，必须具备以下几个条件：1.安装者必须具有本地管理员权限。

2.操作系统版本必须满足条件（Windows Server系列）。

3.本地磁盘至少有一个分区是NTFS文件系统。

4.配置静态的IP地址和子网掩码。

5.有足够的可用磁盘空间。

2）在DC01上安装活动目录。

组策略配置及实践技巧组策略对象可以应用到的容器包括：站点、域、和OU中。

默认的域策略、域控制器策略尽量不要去修改。

默认的域策略会影响到所有的域内的用户，计算机以及DC，默认的域控制器策略只会影响到域内的所有的域控制器。

组策略（group policy）对象包括组策略容器（GPC）和组策略模板（GPT）组策略是AD集中管理的工具。

GPC存放在AD用户和计算机中。

存放位置如下：高级功能-选择域-system-policies对应的UID中，单击属性可以查看版本号等信息，CPT存放于sysvol\域名\polilcies\ID number下的文件夹下，包含计算机和用户的配置，以及版本号。

多个GPO可以链接到一个容器，一个GPO可以链接到多个容器。

计算机如何知道组策略是否更改过？如何获取适合自己的组策略？计算机在登录时首先查看GPlink（adsiedit.msc中域-属性-属性编辑器），查看ID和对应的版本号是否更改过，以便登录的时候实施对应的组策略。

计算机和用户如果要应用组策略对象的设定：计算机和用户必须位于GPO有链接的SDOU容器内。

必须对GPO要有读取和应用组策略的权限。

组策略对象冲突时：1：计算机策略覆盖用户策略。

2：不同层次的策略产生冲突时，子容器上的GPO优先级高3：同一容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高。

（按照链接的组策略对象的顺序执行）总体原册：后执行的优先级高。

变更组策略管理顺序：阻止继承，强制。

设为强制的GPO优先级最高。

阻止继承：就是在父策略的对象不在子策略中实施。

不要轻易设置强制和阻止继承。

方便排错。

安全策略：删除默认的authenticated user组，按照GPO设定创建安全组，为安全组分配权限。

问题：如何实现OU内的GPO只对OU内特定人员生效？（GPO 只对财务部OU和销售部OU的经理生效）使用安全过滤；在AD用户和计算机上新建一个安全组，将需要生效的成员（经理）添加进来，在所要生效的GPO中右击属性-委派-高级，删除默认的authenticated user组，将新建的安全组添加进来，权限中设置读取和应用组策略权限即可。

域账号组策略配置手册V1.0注：使用域后，原有每台机器需要配置的host文件仍需要配置，在修改ip和机器名后，请保持同步更新，以免影响应急系统的使用。

1. 域组策略配置1.1. 域控制器配置1.在域控制器上，打开Active Directory 用户和计算机进行配置2 . 新建组织单位WWIMP3.将Computers 下面属于集成平台得计算机加入到新建的组织中4. 在开始->运行中输入gpmc.msc,打开组策略管理器5. 在目录下找到刚才新建的组织WWIMP ,点击右键创建GPO6. 输入gpo名称wwgpo7. 右键点击刚才创建的GPO，选择编辑，打开组策略编辑器8. 根据下图打开安全选项组策略9. 在右边找到“用户账户控制：在管理审批模式下的提升提示行为”修改为“不提示，直接提升”10．在右边找到“用户账户控制：以管理员批准模式运行所有管理员”，将之改为“已启用”11. 关闭编辑器。

1.2. 域成员更新组策略（2008需要）1. 在域成员计算机上，开始-.>运行cmd ，进入命令窗口2. 运行命令杭gpupdate /force2. WW域用户配置2.1. Ww域用户增加1．登陆域控制器，打开打开Active Directory 用户和计算机进行配置2．选择新建用户3．增加用户wwimpuser 密码p@ssw0rd (0是数字)，选择密码永不过期4. 在users 下找到该用户，右键属性，在“隶属于”选项卡中，将该用户加入到domain admins 和domain users 用户中2.2. Ww客户端配置（或者安装时）1. 双击所有程序中Wonderware下的Change Network Account2. 打开界面后能看到原来的配置，目前我们安装ww软件时都是用的wwuser，如下图3. 重新输入域名称（和现场实际相同），用户使用刚才创建的wwimpuser用户4. 点击确定，这边的提示密码会过期，不用管（我们在域中建的用户密码已经选择了永不过期），直接选择“是”4. 点击确定，重启计算机。

组策略使用方法说明折叠编辑本段启动方式开始菜单->运行->输入"gpedit.msc"->确定根目录:C:\Windows\System32\gpedit.msc(如果是Windows2000，那么其目录是C:\WINNT\SYSTEM32\gpedit.msc)折叠编辑本段注册表注册表是Windows系统中保存系统软件和应用软件配置的数据库，而组策略界面图随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。

当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

折叠编辑本段主要版本对于Windows 9X/NT用户来说，都知道"系统策略"的概念，其实组策略就是系统策略的高级扩展，它是自Windows 9X/NT的"系统策略"发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，主要应用于Windows 2000/XP/2003/7/2008等操作系统中。

早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。

当用户登录时，它会重写注册表中的设置值。

当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。