最新最全win2003之DC组策略(操作)

第6章实现组策略本章概述本章节主要是和大家介绍了实现组策略的知识和技能。

通过本章节的学习，我们可以了解Microsoft® Windows® Server 2003 环境中组策略的用途和功能，以及如何使用和管理组策略对象（GPO，Group Policy Object）。

教学目标●掌握使用本地组策略对象的方法。

●掌握在域上实现组策略对象的方法。

●掌握管理组策略部署的技能。

教学重点●组策略是进行Windows Server 2003管理的最常用的方法，学习好组策略才能真正的发挥Windows Server 2003的功效，掌握本地组策略和域上组策略非常重要。

●组策略制定好了，最重要的是能部署到每一个需要被管理的机器和用户上，所以光有一个好的策略是没用的，掌握好部署的技能也非常重要。

教学难点●组策略的内容对于整个Windows Server 2003的管理来说，是重点也同样是难点。

所以对于本章节的内容，都需要耐心讲解。

先修知识建议学时课堂教学（2课时）+实验教学（1课时）教学过程总结经过本章的学习，我们了解了下列的知识和内容：●掌握使用本地组策略对象的方法。

●掌握在域上实现组策略对象的方法。

●掌握管理组策略的部署的技能。

在第7章中，我们将学习使用组策略管理用户环境的知识，了解如何使用Windows Server 2003进行实现使用组策略管理用户环境。

随堂练习1．你是活动目录域的管理员。

网络中只有一个域，所有域服务器安装Windows Server 2003系统。

所有3500个用户账户保存在默认用户容器中。

所有用户的部门属性都已经设置好。

你现在需要将所有部门属性设置为Sales的账户放在Sales OU中。

由于时间紧急，你希望自动完成添加过程。

你应当执行哪两个步骤？A.使用适当的命令参数运行dsmod命令B.使用适当的命令参数运行dsget命令C.使用适当的命令参数运行dsquery命令D.使用适当的命令参数运行dsmove命令E.使用适当的命令参数运行dsrm命令F.使用适当的命令参数运行find命令答案：C，D分析：使用Dsmove命令行工具可以重命名和移动活动目录中的对象。

在Windows Server 2003 域控制器中打开和使用组策略Windows 2000/XP/2003系统默认已经安装了组策略组件，以一台运行Windows Server 2003 (SP^D系统的域控制器为例,在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入gpedit.msc命令并按回车键，打开“组策略编辑器”窗口。

打开“组策略编辑器”窗口后，其默认的编辑对象是本地计算机。

用户如果想在本地计算机中将其他计算机作为组策略编辑对象，则需要将组策略作为独立的控制台管理程序来打开，具体操作步骤如下所述：第1步，在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入MMC 命令并按回车键。

第2步，打开“控制台1”窗口，依次单击“文件” t “添加/删除管理单元” 菜单命令，打开“添加/删除管理单元”对话框。

在“独立”选项卡中单击“添加”按钮，如图2008112619所示。

施|扩麻1使用此京采宿坦或孙除控飘向的菩FF草无.I言珑尊芯燧is PJ ISW SSS A图2008112619 “添加/删除管理单元”对话框第3步，打开“添加独立管理单元”对话框，在“可用的独立管理单元”列表中选中“组策略对象编辑器”选项，并单击“添加”按钮，如图2008112620所示可用的独立管理知元:图2008112620 “添加独立管理单元”对话框第4步，在打开的“选择组策略对象”对话框中单击“浏览”按钮， 打开“浏览 组策略”对象对话框。

切换到“计算机”选项卡并选中“另一台计算机”单选 框，单击“浏览”按钮，如图 2008112621所示管理单元 Y 元携监祝器 屈性能日志箱警报 ，希远程息面 句证书 密j 证书跌机构 闻征书模模 梁拦端熊务配置静担伸服务供应商Microsoft Ccrpwra... F5i craioft Cflrp&rA .. Microsoft Corpora..Murotftft Carport... Microsoft Cflrp&ra... Mi erasoftCflrpar*...Mi cr»io£t Ccrp&r * Mierasof tCorpora..Mierotfift Cflrpftr*..."Sji此管理单元允许摩疆辑貌策Directory 中的站点、主域览对象可同Active招梃疆或Hf 存在计算机上-曜器配■困g美闭©图2008112621 “选择组策略对象”对话框第5步，打开“选择计算机”对话框，通过高级查找功能在域中找到并选中目标计算机。

windows 2003 域密码策略设置在域控制器上的开始菜单中打开“运行”，输入DSA.MSC后回车，即打开活动目录的用户和计算机管理控制台。

在域节点右键，进入属性，打开组策略选项卡，在里边找到Default Domain policy这个GPO选中他，点击下面的编辑，现在就会打开组策略编辑器，在这个组策略编辑器中找到一下路径：计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了（当然在这里你也可以为你的域设置你自己需要的密码策略），完成了以上设置后并没有完，还有最后一步，就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。

另：1、如何在WIN2003中添加用户？每次添加用户时总是提示我不符合密码策略，怎么办？问：如何在WIN2003中添加用户？我将公司的主域服务器改成win2003，但是win2003却不让我添加用户，每次添加用户是总是提示我不符合密码策略，怎么办？答：对于2003域，默认域的安全策略与2000域不同。

要求域用户的口令必须符合复杂性要求，且密码最小长度为7。

口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。

操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略：密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）3、使用gpupdate命令。

（推荐使用这个）说明：2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。

按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?服务器采用Windows2003Server为例，客户端以XP为例（专业版，home版的不支持)域控制器名字：serverIP：192。

168。

1.254;子网掩码：255。

255。

255。

0;网关：192。

168。

1.1;DNS：192。

168。

1.254由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下拖动右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”直接下一步就可以了`这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

然后点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

组策略命令大全如何打开组策略编辑器？答：运行里输入gpedit.msc系统里提示没有打开组策略这条命令？答：1：看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。

2：开始－－运行－－MMC－－文件－－添加删除管理单元－－添加－－组策略－－添加，后面的你应该会了。

看你要开哪个策略，就添加哪个策略。

一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1.禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除WindowsXP资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows98访问WindowsXP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。

此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。

第10章组策略配置、应用与管理10.1 组策略基础组策略是Active Directory（活动目录）服务中允许管理员针对用户和计算机进行配置的基础架构。

它与注册表的功能类似，但其设置组织形式更加直观，更加便于操作、配置与管理。

它将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

10.1.1 组策略结构组策略设置主要包括：用户计算机环境（如"开始"菜单、桌面快捷项、控制面板选项、可用程序等）、计算机和用户的本地或网络访问权利，以及其他安全控制策略（如组策略中的各种安全选项、IP安全策略等）。

可以用组策略定义用户和计算机组的配置，如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及IE的维护指定策略设置。

创建的组策略设置包含在组策略对象（GPO）中，通过将GPO与所选的Active Directory系统容器--站点、域和组织单位相关联，实现组策略设置的具体应用。

还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。

组策略可基于活动目录中的用户和计算机账户两种对象分别进行配置，所以在GPO中的组策略设置项中包括"计算机配置"和"用户配置"两大部分（如图10-1所示），这就是组策略的基本结构。

而且可以看到，在这两大部分中，有许多设置项是相同的，如都有"软件设置"、"Windows设置"和"管理模板"等这几部分，而且在这些部分中，又有许多相同的子设置选项。

我们知道，"计算机配置"是针对计算机对象而言的，"用户配置"是针对用户对象而言的，而用户配置又是通过计算机来应用的，这就存在一个可能两者的相同选项设置不一致、有冲突的问题，这时又该应用哪个设置呢？根据组策略规定，当两者的配置有冲突时，最终以计算机策略为依据。

WindowsServer2003中组策略应用作为一个网络治理员，我们期望有一种方便的、灵活的方法能够操纵整个公司的职员的用户桌面环境，能够给用户安装他们所需要的软件而不用您亲自一台一台地去安装。

在Windows Server 2003中提供了这种方便灵活地实现方法——组策略。

专门是在域模式的情形下，应用组策略能够提供更加方便灵活的功能。

18.1创建和配置组策略18.1.1 组策略简介组策略设置定义了系统治理员需要治理的用户桌面环境的各种组件，例如，用户可用的程序、用户桌面上显现的程序以及〝开始〞菜单项选择项。

要为特定用户组创建专门的桌面配置，请使用组策略对象编辑器。

您指定的组策略设置包含在组策略对象中，而组策略对象又与选定的Active Directory 对象〔即站点、域或组织单位〕相关联。

组策略不仅应用于用户和客户端运算机，还应用于成员服务器、域操纵器以及治理范畴内的任何其他Microsoft Windows 2003 运算机。

默认情形下，应用于域的组策略会阻碍域中的所有运算机和用户。

〝Active Directory 用户和运算机〞还提供内置的〝Domain Controllers〞组织单位。

假如将域操纵器帐户储存在那儿，那么能够使用组策略对象〝Default Domain Controllers Policy〞将域操纵器与其他运算机分开治理。

组策略包括阻碍用户的〝用户配置〞策略设置和阻碍运算机的〝运算机配置〞策略设置。

使用组策略可执行以下任务：●通过〝治理模板〞治理基于注册表的策略。

组策略创建了一个包含注册表设置的文件，这些注册表设置写入注册表数据库的〝User〞或〝Local Machine〞部分。

登录到给定工作站或服务器的用户的特定用户配置文件写在注册表的HKEY_CURRENT_USER (HKCU) 下，而运算机特定设置写在HKEY_LOCAL_MACHINE (HKLM) 下。

WINDOWS XP、2003下DCOM配置说明一、进行本地安全策略设置将网络访问权限由“仅来宾”更改为“经典”单击Windows菜单“开始－>管理工具－>本地安全策略”，更改网络访问权限。

二、O PC Client端（接口机）DCOM访问权限的配置1.运行DCOM配置工具。

在WINNT\system32目录下找到：dcomcnfg.exe，并运行它。

或者单击Windows菜单“开始－>运行”，在如下对话框内输入命令行“dcomcnfg”2.在组件服务窗口中“组件服务－>计算机－>我的电脑－>属性”进行属性设置：在《默认属性》页面设置如下：选择在此计算机上启动分布式COM(E)选项、默认身份验证级别（U）是：连接，默认模拟级别（I）是：标识。

在《默认协议》页面设置如下：面向连接的TCP/IP。

3.在《COM安全》页面设置“访问权限”及“启动和激活权限”a.按“访问权限”框里的(编辑默认值)按钮，分别加入“Everyone、INTERACTIVE、NETWORK、SYSTEM”用户和组，方法为按(添加)按钮，再按(高级)按钮及(立即查找) 按钮，选择：Everyone、INTERACTIVE、NETWORK、SYSTEM用户，按(确定)按钮，确保每个用户的访问权限框里本地访问和远程访问选项选择：允许，再按(确定)按钮回到《COM安全》页面。

b.按“启动和激活权限”框里的(编辑默认值)按钮，分别加入“Everyone、INTERACTIVE、NETWORK、SYSTEM”用户和组，方法为按(添加)按钮，再按(高级)按钮及(立即查找) 按钮，选择：Everyone、INTERACTIVE、NETWORK、SYSTEM用户，按(确定)按钮，确保每个用户的访问权限框里本地启动、远程启动、本地激活、远程激活选项选择：允许，再按(确定)按钮回到《COM安全》页面4. 在“组件服务—>计算机—>我的电脑—>DCOM配置”页面中选择要配置的OpcEnum，然后单击“属性”按钮；5. 在《常规》属性页面中修改身份验证级别为“无”。

了解组策略功能集分步指南本分步指南简要介绍―组策略‖，并说明如何使用―组策略‖管理单元来指定用户和计算机组的策略设置。

本页内容简介概述组策略和Microsoft 管理控制台附录其他资源简介逐步式指南Microsoft Windows Server 2003 部署分步指南提供了很多常见操作系统配置的实际操作经验。

本指南首先介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置Active Directory®；安装Windows XP Professional 工作站并最终将此工作站添加到域中。

后续分步指南假定您已建立了此通用网络结构。

如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

•第一部分：将Windows Server 2003 安装为域控制器•第二部分：安装Windows XP Professional 工作站并将其连接到域在配置通用网络结构后，可以使用任何其他分步指南。

注意，某些分步指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。

任何额外的要求都将列在特定的分步指南中。

Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005）来实施Windows Server 2003 部署分步指南。

借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。

Virtual PC 2004 和Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。

Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。

WINDOWS2003安全策略设置在windows2003下进行安全策略设置，是很有必要的，可以阻挡大部分初级黑客的入侵和破坏。

一．本地安全策略设置开始菜单—>管理工具—>本地安全策略本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪失败审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性调整日至文件大小：1048576KB=1G 覆盖时间超过30天的事件帐户策略——>帐户锁定策略设置为3次无效登陆本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组用户权利分配：将“从网络访问此计算机”中只保留(Administrators)、使用还要保留Aspnet账户。

(ASPNET)、启动IIS进程账户(IUSR)、(IWAM)(Everyone) (Administrators)(ASPNET)(IUSR)(IW AM)(Everyone)本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命名通道全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户（例如Gu2#edst@1）请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限下列这些文件只允许Administrators和SYSTEM访问net.exenet1.execmd.exeftp.exetftp.exetelnet.exenetstat.exeregedit.exeat.exeattrib.execacls.exe另外将系统盘C:\WINDOWS\system32下cmd.exe、、ftp.exe转移到其他目录或更名快捷方式：在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.ex e","","c.exe"点击搜索然后全选右键属性安全磁盘权限磁盘（C、D、E、F盘全部）Administrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件C:\WINDOWSAdministrators和SYSTEM完全控制权限Users （用户默认权限不作修改“读取和运行、列出文件夹目录、读取”）<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制<不是继承的>只有子文件夹及文件C:\Program FilesAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制权限<不是继承的>只有子文件夹及文件Users读取和运行<不是继承的>该文件夹，子文件夹及文件C:\Documents and SettingsAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件C:\Documents and Settings\All UsersAdministrators和SYSTEM 完全控制权限<不是继承的>该文件夹，子文件夹及文件Users组的权限仅仅限制于读取和运行，绝对不能加上写入权限（默认为“读取和运行、列出文件夹目录、读取”）C:\Documents and Settings\All Users\Application DataAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制<不是继承的>只有子文件夹及文件Users读取和运行<不是继承的>该文件夹，子文件夹及文件Users写入<不是继承的>该文件夹及子文件夹两个并列权限同用户组需要在高级里分开添加，分开列权限Users读取和运行的权限：选择2345项和倒数第3项Users写入的权限：选择6789项C:\Program Files\Microsoft SQL Server\MSSQL(程序部分默认装在C：盘)D:\Program Files\Microsoft SQL Server\MSSQL(本人的在D盘)Administrators完全控制权限<不是继承的>该文件夹，子文件夹及文件D:\Program Files\Microsoft SQL Server (数据库部分装在D：盘的情况) Administrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制权限<不是继承的>只有子文件夹及文件C:\Program Files\Internet Explorer\iexplore.exeAdministrators完全控制权限<不是继承的>该文件夹，子文件夹及文件C:\Program Files\Serv-U (如果装了Serv-U服务器的话)D:\Program Files\Serv-U (本人的在D盘)这里常是提权入侵的一个比较大的漏洞点一定要按这个方法设置目录名字根据Serv-U版本也可能是C:\Program Files\\Serv-UAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制权限<不是继承的>只有子文件夹及文件删除c:\inetpub目录如果服务器上有.NET网站运行，aspnet_client文件夹的权限设置为Administrators、SYSTEM<完全控制><不是继承的><该文件夹，子文件夹及文件>Users <读取><不是继承的><该文件夹，子文件夹及文件>最后：C\WINDOWS\TEMP设置添加Everyone的读写属性，NetWork Service完全控制属性。

应用组策略将安全模板导入组策略使用"安全配置和分析"目标使用本模块可以实现下列目标：•将组策略应用于组织单位。

•将安全模板导入策略。

•帮助实施Windows Server 2003 安全指南。

返回页首适用范围本模块适用于下列产品和技术：•Microsoft® Windows Server ™2003 操作系统返回页首如何使用本模块本模块与Windows Server 2003 安全指南配合使用，是该指南的补充材料。

返回页首概要组策略用于从一个单独的点对多个Microsoft Active Directory® 目录服务用户和计算机对象进行配置。

在默认情况下，策略不仅影响应用该策略的容器中的对象，还影响子容器中的对象。

组策略包含了"计算机配置| Windows 设置| 安全设置"下的安全设置。

您可将预先配置的安全模板导入策略，来完成对这些设置的配置。

返回页首应用组策略下列步骤显示了如何应用组策略，以及如何向"用户权限分配"添加安全组。

•将组策略应用于组织单位或域1.依次单击"开始"、"管理工具"、"Active Directory 用户和计算机"，打开"Active Directory 用户和计算机"。

2.突出显示相关域或组织单位，单击"操作"菜单，选择"属性"。

3.选择"组策略"选项卡。

注意：每个容器可应用多个策略。

这些策略的处理顺序是从列表的底部向上。

如果出现冲突，最后应用的策略优先。

4.单击"新建"创建一个策略，并为其指定有实际意义的名称，如"域策略"。

注意：单击"选项"按钮可配置"禁止替代"设置。

window2003实验手册—组策略教学时刻第五周2020-3-18教学课时3教案序号12-14教学目标1、把握如何建立和治理OU2、学会在win2003中应用组策略教学过程：一、OU〔组织单元〕的治理1、OU的概念域是最小的治理单位，在活动名目中，域一样对应公司，而OU那么对应于公司中的部门。

OU是活动名目中的容器，能够在OU中建立用户、组等其他对象，也能够在OU中建立OU。

2、建立OU及子对象〔1〕注意图标。

〔2〕建立步骤：在需要创建的空白处右击，选择〝新建〞——〝组织单元〞，在对话框内输入OU名称即可。

〔3〕在OU中能够放用户、组、打印机、共享文件夹、子OU等。

实验一：OU的治理1、在test 下中新建〝教师〞和〝学生〞两个OU，再在〝教师〞OU下新建〝一般教师〞OU。

2、〝教师〞OU中包括t1，t2账户，〝学生〞OU中包括s1，s2账户，〝一般教师〞OU中包括c1，c2账户。

二、组策略概述1、组策略的概念〔1〕组策略是一种在用户或运算机集合上强制使用一些配置的方法，使用组策略能够给同组的运算机或者用户强加一套统一的标准，包括治理模板设置、Windows设置、软件设置。

〔2〕组策略配置包含在一个组策略对象〔GPO〕中，该对象又与选定的活动名目服务容器〔如站点、域、组织单元OU等〕相关联，可不能阻碍没有加入域的运算机和用户。

〔3〕组策略配置类型有：运算机配置和用户配置。

〔4〕组策略分为：本地安全策略和活动名目的组策略。

本地安全策略适用于本地用户和组，我们所讲的是活动名目的组策略，活动名目安装好以后就自动建立了两个组策略〔域操纵器安全策略和域安全策略〕。

2、组策略的应用顺序〔1〕本地组策略〔2〕域组策略〔3〕域操纵器组策略〔4〕组织单元组策略三、组策略对象的治理我们能够通过Active Directory用户和运算机建立链接到域和OU的策略，Active Directory站点和服务建立链接到站点的策略。

症状:现公司域为windows2003域，共有两台DC（同时这两台DC也是DNS服务器），一直工作正常在两个月之前第一台DC（暂时称之为DC1）因为主板出现故障无法启动，故由第二台DC（暂时称之为DC2）夺取FSMO角色，等DC1恢复工作之后，再让DC1获取FSMO角色，恢复原工作环境但在恢复正常工作之后的一个月以后，不知何故，在DC2的事件日志中，应用程序纪录中开始出现大量的ID 1030、1058的错误信息，二十天后DC1上面也开始出现这两个错误信息，平均每隔5分钟纪录一次错误信息：类型: 错误来源: Userenv类别: 无事件 ID: 1058描述:Windows 无法访问 GPOcn={0D16F706-E6F8-41E8-BBDB-4A5C4952F024},cn=policies,cn=system,DC=qu ande,DC=qd 的文件 gpt.ini。

此文件必须在<\\xxx.xxx\SysVol\xxx.xxx\Policies\{0D16F706-E6F8-41E8-BBDB-4A5C4952F 024}\gpt.ini>。

(拒绝访问。

（最早是找不到网络路径） )。

组策略处理中止。

有关更多信息，请参阅在/fwlink/events.asp的帮助和支持中心。

类型: 错误来源: Userenv类别: 无事件 ID:1030描述:Windows 不能查询组策略对象列表。

请查看事件日志，从中寻找策略引擎以前可能记录的描述此原因的消息。

有关更多信息，请参阅在/fwlink/events.asp的帮助和支持中心。

处理过程：解决方法一：*按照Microsoft的客服支持网页/kb/290647/zh-cn上的思路认为主要是由于将不适当的权限分配给 %SystemRoot%\Winnt\Sysvol 文件夹或将不适当的组分配给 Bypass Traverse Checking User Rights Assignment（跳过遍历检查用户权利指派），可能会发生此问题。