GPMC

网管经验共享：组策略相关故障排错经验谈对于网络管理员来讲，关于组策略的问题可能听到最多的抱怨就是:“我设置了一个策略，为什么它不生效?”。

对于一些比较大的网络环境，组策略可以减轻网管人员的管理工作，但其出问题的几率还是比较大的。

这一方面是由于我们在日常操作时不慎引起的，另一方面是由于策略相互影响而造成最终的结果与设想不一致。

组策略应用要点 这里，笔者给出几点微软不推荐的做法： 1.不要删除两条默认的策略(默认域策略和默认域控制器策略)，很多问题的发生都是由删除这两条默认策略而引起的。

而且要使用组策略管理控制台(GPMC)工具备份这两条默认策略，用于将来还原。

如果直接通过GPMC删除默认策略时，我们会发现是行不通的，但是，稍有经验的读者知道如何删除它们。

既然是一个不推荐的做法，希望大家不要删除它们。

2.组策略是不能够链接在用户组上的。

有很多初次接触活动目录的管理员，经常设想将组策略生效于某一用户组，这是行不通的。

组策略不是为用户组设定的策略，而是一组策略的集合，只能链接在站点、组织单元和域上面。

3.组策略的生效问题 (1)生效顺序 正常生效顺序:本地策略→站点策略→域策略→父OU策略→子OU 策略。

我们使用时，在出现登录对话框前，会有“应用安全策略”的提示，这也就是本地策略生效的过程。

发生冲突时，最新的策略设置会覆盖其他设置。

计算机设置高于用户设置(即使用户设置是后设置的)。

父容器组策略设置与子容器设置发生冲突，子容器中组策略的设置将最终生效。

同一容器的多个策略按照优先权顺序进行生效。

所以，当在一个容器上面链了多个GPO时，不妨仔细看看它们的顺序，很有可能问题是顺序不当引起的。

(2)生效时间 默认情况下，非域控制器的计算机每90分钟刷新一次策略，其中含有随机的30分钟时间偏移量，时间偏移量保证了多个计算机不会同时连接到同一个域控制器上面。

域控制器每5分钟刷新一次，保证了紧急更新的组策略设置(安全性设置)能够得到及时执行，可以在 “域控制器组策略重新刷新时间间隔”里面更改(如图1)。

使用组策略添加打印机
1、配置好打印服务器，并添加各版本操作系统的驱动程序
2、运行gpmc.msc打开组策略管理器
3、右键点击“组策略对象”，并选择“新建”
4、为此新建的GPO命名
5、右键点击此GPO，并选择编辑
6、在“组策略管理编辑器”中，依次展开：用户配置→首选项→控制面板设置→打印机
7、右键点击“打印机”，选择新建→共享打印机
8、填入要添加打印机的完全路径后，点击确定
9、可以看到该任务正常显示
10、右键点击需要安装此打印机的OU（域全部计算机请右击hg.local），选择“链接现有GPO”
11、选择刚才创建的GPO，并点击确定
12、可以看到“信息技术部”已经链接了GPO“Install Printer HP 3055”
13、到用户计算机上应用gpupdate /force强制刷新或等待系统自动刷新组策略之后，该打印机已正常安装。

Ad域管理工具按照ITIL、COBIT、MOF等安全操作规范的要求，对于生产服务器包括活动目录域AD域服务器域控制器，应该尽量减少物理接触及直接登录，即便是AD域管理员也应该尽量实施远程管理。

这样能够最大限度的降低AD域控制器的故障几率。

那么活动目录域AD域控制器的远程管理工具都有哪些呢？活动目录域AD域控制器的远程管理工具最常见的有两种：adminpak.msi 以及 gpmc.msc。

您可以在域中的一台计算机上安装它们，从而对活动目录域AD实施远程管理。

不过有个前提，您必须使用域管理员的账户登录到这台计算机上。

提示：为了避免活动目录域管理员登录后的token被窃取攻击的可能性，用户活动目录域AD远程管理的这台计算机一定要确保它的安全，这可能包括物理隔绝。

adminpak.msi全称windows Server 管理工具包，它包含了如下三个活动目录域AD域控制器远程管理工具：• Active Directory 域和信任关系 domain.msc• Active Directory 站点和服务 dssite.msc• Active Directory 用户和计算机 dsa.msc此外还有一个和活动目录域AD管理很紧密的工具 dns管理工具 dnsmgmt.msc adminpak.msi伴随os版本而发布不同的版本，大家在下载的时候，请选择对应版本。

Windows Server 2003 R2 管理工具包 (x86)/downloads/details.aspx?displaylang=zh-cn&FamilyID=9bfb 44f5-232a-4fb5-bc14-45bfd81b7ac1Windows Server 2003 Service Pack 1 Administration Tools PackWindows Server 2003 Administration Tools Packadminpak.msi在工作站上的安装过程请参考如何使用 Adminpak.msi 在 Windows 中安装特定的服务器管理工具/default.aspx?scid=kb;zh-cn;314978gpmc.msc全称组策略管理控制台，它没有包含在adminpak.msi中，需要单独安装。

AD组策略禁用U盘如果需要禁用U盘的使用，可以通过AD组策略来实现。

下面是详细的步骤，以及一些注意事项：1.创建一个新的组策略对象（GPO）：- 打开Group Policy Management Console（GPMC）- 在左侧的树形目录中选择“Group Policy Objects”，右键单击，选择“New”-输入一个描述性的名称，然后点击“OK”-在GPMC中，找到创建的新GPO- 右键单击该GPO，然后选择“Edit”选项3.配置组策略设置：-展开“系统”子节点，然后找到“可移动存储访问”-在右侧的列表中，找到“禁用USB存储设备”，双击打开设置窗口-在设置窗口中，选择“已启用”，然后点击“确定”4.更新组策略：-在GPMC中，找到域对象- 右键单击域对象，然后选择“Group Policy Update...”选项-在弹出的对话框中，选择需要更新的对象，然后点击“OK”5.验证组策略设置：-在域内的计算机上，以域管理员身份登录- 打开命令提示符，输入“gpupdate /force”命令以强制更新组策略-重新启动计算机-插入U盘，检查是否能够正常访问需要注意的是，禁用U盘使用是一种较为严格的控制措施，可能会对用户的正常操作造成一定的影响。

在实施之前，需要与用户进行充分的沟通和培训，并根据实际情况进行调整和适配。

此外，应注意以下几点：1.仅禁用U盘可能无法完全限制用户从其他途径传输文件（例如通过网络或其他外部存储设备）。

因此，在实施组策略之前，应对其他可能的数据传输途径进行评估和控制。

2.组策略设置将适用于所有用户和计算机。

如果只想限制特定用户或计算机的U盘使用，可以将GPO应用于相应的组织单元（OU）或安全组。

3.在一些情况下，可能需要允许一些特定用户或计算机使用U盘。

可以针对这些特殊情况创建不同的GPO，或者通过安全组的方式进行特权控制。

总结来说，通过AD组策略禁用U盘的使用，可以有效地增强计算机系统的安全性。

ARM与FPGA通用GPMC总线接口设计实现引言：随着计算机科学的不断发展，特别是嵌入式系统的迅速发展，ARM和FPGA的结合越来越受到关注。

ARM作为一种高性能、低功耗的处理器，广泛应用于移动设备、智能家居和工业自动化等领域。

而FPGA则具有灵活可重构的特点，可以实现各种不同的数字电路和逻辑功能。

为了实现ARM与FPGA之间的通信，我们可以采用GPMC（General-Purpose Memory Controller）总线接口。

GPMC是一种高性能、灵活的AMBA（ARM Advanced Microcontroller Bus Architecture）总线接口，主要用于处理大容量主存储器和外部设备的访问。

设计思路：1.通过FPGA实现GPMC总线控制器，与ARM处理器相连。

2.根据GPMC总线协议规范，实现数据、地址、控制和时钟信号的交互。

3.通过GPMC总线控制器，实现ARM与FPGA之间的数据传输和通信。

设计细节：1.GPMC总线控制器的设计：-实现GPMC总线接口的时序控制逻辑，包括数据传输的读写控制和时钟同步。

-实现对外设的地址和数据的读写控制。

-实现GPMC总线控制器与ARM处理器的接口逻辑。

2.GPMC总线接口的数据传输：-对于数据的读取，ARM发送读命令和地址给GPMC控制器，控制器从外设读取数据，并将数据发送给ARM。

-对于数据的写入，ARM发送写命令、地址和数据给GPMC控制器，控制器将数据写入外设。

3.GPMC总线接口的时钟同步：-ARM和FPGA可能有不同的时钟频率，需要实现时钟同步。

- 可以使用FPGA中的PLL（Phase-Locked Loop）模块，将ARM的时钟频率转换为与FPGA相同的频率。

4.GPMC总线接口的地址映射：-ARM和FPGA之间的地址映射需要一致，以确保ARM访问FPGA上的正确地址。

-可以通过使用地址转换模块来实现地址映射。

5.GPMC总线接口的信号标准：-GPMC总线接口的信号标准需要符合AMBA总线接口规范。

ARM与FPGAGPMC总线接口设计实现ARM（Advanced RISC Machine）与FPGA（Field Programmable Gate Array）GPMC（General-Purpose Memory Controller）总线接口设计实现是一种常见的系统级组件互连方式。

在许多嵌入式系统中，ARM处理器与FPGA协同工作以提供更高性能和更多功能。

通过设计和实现一个高效的总线接口，ARM处理器和FPGA可以有效地通信，实现数据传输和协作计算。

在设计ARM与FPGAGPMC总线接口时，需要考虑以下几个方面：1.电气特性：ARM和FPGA之间的总线接口需要考虑电平匹配、时序一致性等电气特性。

通常采用LVCMOS电平进行通信，同时需要保证时钟信号和数据信号的稳定性和可靠性。

2.信号传输：ARM处理器和FPGA之间的通信通路可以通过多种方式，如并行总线、串行总线、DMA等。

在设计总线接口时，需要选择合适的信号传输方式，并进行信号映射和协议转换。

3.性能优化：通过合理设计总线接口，可以优化数据传输性能，提高系统的吞吐量和响应速度。

可以采用FIFO缓冲、流水线设计等技术来提高数据传输效率。

4.数据传输协议：ARM和FPGA之间的通信需要定义数据传输协议，包括数据帧结构、数据标识符、校验和错误处理等。

通常采用标准协议如AHB、AXI等，也可以根据具体需求设计自定义协议。

基于以上考虑，下面介绍一种ARM与FPGAGPMC总线接口的设计实现方案：1.电气特性：采用LVCMOS电平进行信号传输，确保电平匹配和时序一致性。

使用适当的阻抗匹配和信号波形调整电路来提高信号质量。

2.信号传输：采用高速并行总线进行ARM和FPGA之间的数据传输。

通过并行总线数据线和控制线的映射，实现ARM处理器与FPGAGPMC之间的通信。

3.性能优化：设计FIFO缓冲器和数据流水线，提高数据传输效率。

在ARM处理器和FPGA之间增加数据缓冲和流水线处理，减少传输延迟和提高系统响应速度。

青蛙學堂AD域维日常维护手册一、Active Directory (域) 介绍Active Directory 的体系结构介绍Active Directory 的体系结构分为逻辑结构和物理结构。

必须对Active Directory 的逻辑结构与物理结构进行规则，才能较好地满足企业的需求。

为了管理Active Directory ，必须首先理解这些结构。

Active Directory 的作用Active Directory可以存储用户、计算机和网络资源的信息，并且使资源可以被用户和应用程序访问。

它提供了一种统一的方法来命名、描述、定位、访问、管理、和保护这些资源。

Active Directory具有如下功能：●对网络资源的集中控制。

通过对诸如服务器、共享文件和打印机等的资源进行集中控制，只有授权用户可以访问Active Directory 中的资源……例如，可以通过给行政部的激光打印机设置权限，设置只有行政部人员可以使用该打印机……从而避免非法使用和资源浪费。

●集中和分散管理。

管理员通过一致的管理界面，能够可以编写一个组策略，使得某个应用程序的升级包能够在网络中每个用户开机的时候就自动安装，从而分散管理任务。

例如，管理员可以把销售部的计算机和打印机纳入到一个组织单元中，将它们的管理权限委派给销售部的技术支持人员，从而减少自己的工作量。

●在逻辑结构中安装地存储对象。

Active Directory 使用层次逻辑结构把所有资源作为对象存储。

例如，可以按照公司的组织结构和业务需求来组织相应的组织单元，将网络资源分布在相应的组织单元中，实现分级管理。

Active Directory 还会对储在其中的对象进行加密，这样可以保证数据的安全。

●优化网络流量，Active Directory 物理结构能够更加高效地使用网络带宽，例如，当用户登录到网络时，能够保证用户是由离他们最近的验证中心进行身份验证，从而减小了网络流量。

win server 2012域控组策略Windows Server 2012是微软推出的一款专为企业级服务器设计的操作系统。

在Windows Server 2012中，域控制器（Domain Controller）是一个重要的角色，用于管理网络中的用户、计算机和其他资源。

组策略（Group Policy）是Windows Server 2012中的一项功能，用于集中管理和配置网络上的计算机和用户的设置。

在Windows Server 2012中，域控制器是一个可以存储和管理安全凭据、身份信息和策略信息的服务器。

它与Active Directory（AD）服务一起工作，用于对用户、计算机和其他资源进行身份验证和授权。

域控制器通过组策略来管理网络上的计算机和用户的设置。

组策略是Windows Server 2012中的一项功能，它允许管理员集中管理网络上的计算机和用户的设置。

管理员可以使用组策略来配置计算机的安全设置、网络设置、软件安装等。

组策略可以设置在本地计算机上，也可以设置在域控制器上。

在使用组策略管理网络上的计算机和用户设置时，可以使用组策略管理器（Group Policy Management Console，GPMC）进行配置。

GPMC是一个控制台管理工具，它允许管理员创建、编辑和管理组策略对象（Group Policy Object，GPO）。

通过GPMC，管理员可以创建GPO，并将其链接到特定的域、组织单位、站点或计算机。

GPO是组策略的基本单位，它包含一组配置设置和策略规则。

每个GPO都可以包含计算机配置和用户配置。

计算机配置设置适用于计算机上的所有用户，而用户配置设置则只适用于指定的用户。

管理员可以通过GPO来配置计算机的安全设置、网络设置、软件安装等。

除了GPO之外，还可以使用组策略首选项（Group Policy Preferences，GPP）来配置更灵活的设置。

GPP允许管理员配置计算机和用户的设置，包括注册表设置、本地用户和组、文件设置等。

结构化的管理面板，即体现出整个域的结构，又直观的表现出组策略的层次感。

如下图所示：
具体的GPO（组策略对象）所影响的对象，是靠连接来完成的。

如下图所示：
在GPMC中具体的宪法（组策略）写好了，并不影响具体对象（OU 站点域）要连接到具体的OU上当前的GPO才会生效。

链接起来很容易，只需要拖拽住一条GPO到某一个对象（OU、站点、域）上就可以了。

GPMC飙车第二招：欲知未来，全球定位，智能分析，霹雳游侠在世
GPMC中的策略结果集功能可以帮助管理员分析目前所制定的策略集最终所影响的对象后的具体效果。

管理员再也不用为策略集的最终生效问题发愁了：
WMI的筛选功能在没有GPMC的时代已经出现了，但是一直没有得以好好应用。

不得已被称之为鸡肋。

GPMC中充分的解决了这个问题，任意的制定WMI筛选项，并可任意的以连接的方式应用到相应的GPO，为每一条GPO都可以制定相应的生效条件，真正做到了具体问题具体分析。

最后送上GPMC报告功能截图：。

下发域控组策略域控制器(Group Policy)是指一种在活动目录域中用于自动化和集中管理部分或全部计算机和用户计算机设置的机制。

组策略允许域管理员通过一组策略设置来集中配置域中的计算机和用户的设置，以提高安全性、统一性和可管理性。

下发域控组策略是指将组策略应用到域中的计算机和用户上，以实现所需的设置。

域控组策略的下发方式主要有两种：启用默认组策略和创建自定义组策略：1. 启用默认组策略：当创建域控时，活动目录会自动创建若干个默认组策略对象，默认组策略包含一系列为域中计算机和用户提供基本设置的策略。

管理员可以通过编辑默认组策略，修改其中的设置，然后将其下发到域中的计算机和用户。

默认组策略的设置可以通过组策略管理器(GPMC)进行查看和编辑。

2. 创建自定义组策略：除了使用默认组策略，管理员还可以创建自定义组策略对象。

自定义组策略可以根据特定需求创建，更具灵活性。

管理员可以选择性地将自定义组策略链接到域中的组织单元(OU)或域中的计算机和用户上。

在进行域控组策略的下发时，需要注意以下几点：1. 组织单元(OU)的设计：域中的组织单元是用于进行组策略下发的关键对象。

管理员应该根据组织结构和管理需求，合理划分OU，并将组策略链接到相应的OU上，确保正确的策略应用。

2. 组策略的优先级：在域中，可能存在多个组策略对象，而且某些策略之间可能存在冲突。

在这种情况下，组策略的优先级非常重要。

管理员需要了解组策略的策略处理顺序，确保某个设置不会被较低优先级的策略所覆盖。

3. 组策略的继承和阻止：组策略默认是会继承到子对象的，但可以通过阻止继承来防止某个对象应用某个策略。

管理员需要根据具体情况，合理设置继承和阻止，以确保策略按预期生效。

4. 组策略的更新：组策略是通过域控制器自动推送到域中的计算机和用户上的。

当管理员更新了组策略时，域控制器将自动下发最新的策略设置，然后客户端会在下次进行组策略更新时自动应用新的设置。

ad下发防火墙规则当我们谈论AD（Active Directory）下发防火墙规则时，通常是指通过Group Policy对象（GPO）在Active Directory环境中配置Windows防火墙规则。

这种方法可以确保网络中的所有计算机都遵循相同的防火墙策略。

首先，你需要打开Group Policy Management Console （GPMC），然后创建一个新的GPO或者编辑现有的GPO。

接下来，你可以按照以下步骤进行操作：1. 在GPMC中，找到要编辑的GPO，右键单击并选择“Edit”。

2. 在打开的Group Policy Management Editor中，依次展开“计算机配置”、“Windows设置”、“安全设置”、“Windows防火墙与高级安全性”。

3. 在“Windows防火墙与高级安全性”下，你可以配置“入站规则”和“出站规则”来限制流量。

你可以创建新规则，也可以编辑现有规则。

4. 选择“新建规则”并按照向导的指示进行操作。

你可以选择规则类型（程序、端口、预定义规则等），指定适用的程序或端口，以及规则的操作（允许、拒绝、安全连接等）。

5. 在配置规则的过程中，你还可以指定规则适用的范围（域、专用、公用网络）、配置规则的激活时间和激活条件等。

在完成规则的配置后，GPO会自动将这些规则下发到域中的计算机。

当计算机应用了GPO后，防火墙规则就会按照GPO中定义的方式进行配置。

需要注意的是，配置防火墙规则需要谨慎，确保规则不会影响到网络的正常通信，并且符合安全策略的要求。

在配置之前，最好进行充分的测试，以确保规则的有效性和稳定性。

同时，定期审查和更新规则也是非常重要的，以适应网络环境和安全需求的变化。

本文介绍了 ADM 文件的工作方式、可用于管理其操作的策略设置以及关于如何处理常见ADM 文件管理情况的建议。

回到顶端ADM 文件简介ADM 文件是组策略用以描述基于注册表的策略设置在注册表中的存储位置的模板文件。

ADM 文件还描述了管理员在“组策略对象编辑器”管理单元中看到的用户界面。

管理员使用组策略对象编辑器创建或修改组策略对象(GPO)。

回到顶端ADM 文件存储和默认值在每个域控制器的 Sysvol 文件夹中，每个域GPO 都包含一个文件夹，该文件夹被称为组策略模板 (GPT)。

GPT 存储上次创建或编辑GPO 时组策略对象编辑器中使用的所有ADM 文件。

每个操作系统都包含一个标准ADM 文件集。

这些标准文件是组策略对象编辑器加载的默认文件。

例如，Windows Server 2003 包括以下ADM 文件：∙System.adm∙Inetres.adm∙Conf.adm∙Wm player.adm∙Wuau.adm回到顶端自定义 ADM 文件程序开发人员或IT 专业人员可以创建自定义ADM 文件，以便将对基于注册表的策略设置的使用扩展到新的程序和组件中。

注意：必须对程序和组件进行设计和编码，以识别和响应ADM 文件中所描述的策略设置。

要在组策略对象编辑器中加载ADM 文件，请执行以下操作步骤：1.启动“组策略对象编辑器”。

2.右键单击“管理模板”，然后单击“添加/删除模板”。

注意：管理模板可在“计算机”或“用户配置”下找到。

选择您的自定义模板的正确配置。

3.单击“添加”。

4.单击 ADM 文件，然后单击“打开”。

5.单击“关闭”。

6.此时组策略对象编辑器中已经有自定义 ADM 文件策略设置了。

回到顶端更新 ADM 文件和时间戳每个用于运行组策略对象编辑器的管理工作站都将ADM 文件存储在%windir%\Inf 文件夹中。

创建并首次编辑GPO 后，此文件夹中的ADM 文件即被复制到GPT 中的Adm子文件夹中。

域控获取组策略
域控制器（Domain Controller，简称DC）是负责管理域中所有对象和资源的主机。

在域环境中，组策略（Group Policy）是实现集中管理和配置的重要工具，用于配置和管理网络中计算机和用户的各种设置。

在域环境中，组策略是通过组策略对象（Group Policy Object，简称GPO）来配置和应用的。

每个GPO都包含一组组策略设置，这些设置将在域中的计算机或用户应用。

要获取域控制器上的组策略，可以执行以下步骤：
1. 打开组策略管理控制台：在域控制器上，以管理员身份运行“gpmc.msc”命令，打开组策略管理控制台。

2. 找到组策略对象：在控制台左侧的导航窗格中，展开“组策略对象”节点，可以看到所有的组策略对象列表。

3. 查看组策略设置：在右侧窗格中，选择要查看的组策略对象，并查看其组策略设置。

可以查看计算机配置和用户配置中的各种设置，并进行相应的配置和管理。

4. 导出组策略：如果想将组策略导出为文件以便在其他计算机或用户上应用，可以右键单击组策略对象，选择“导出”选项，并按照向导进行操作。

导出的组策略文件通常具有“.pol”扩展名。

5. 应用组策略：要将组策略应用到域中的计算机或用户，可以将组策略文件部署到相应的位置，并使用组策略管理控制台进行配置和链接。

需要注意的是，组策略的配置和管理需要具备一定的网络和系统管理知识。

在进行更改之前，建议先备份当前的组策略配置，并确保对网络环境有足够的了
解。