Window 2008 R2组策略之一——组策略管理控制台

      组策略管理在windows域管理中占有重要地位,本身也不是新的内容了。但微软在Windows2008中终于集成了一个非常好用的组策略管理工具——组策略管理控制台。并且为原有的组策略添加了新的元素。本文从介绍组策略管理控制台入手,力求通过比较通俗的语言,为组策略新手开启一扇进入Windows域高级管理的大门。由于本人水平所限,如有不妥之处,请方家不吝赐教。

     在08以前的Windows Server中要想配置组策略, 是件麻烦事。后来微软推出了一个小工具——gpmc,才解决了问题,但这个工具需要下载和安装,许多人不知道有这个工具的存在。在Windows 2008中,微软将它集成了进来,大大方便了管理员对于组策略的管理和配置。首先,让我们看看它的庐山真面目吧!点击“开始”,导航到“管理工具”,选择“Group Policy Management”命令,打开组策略管理控制台。(见图一)

截图28

图一

      正如各位所见,在此管理控制台的根节点,是一个叫做“beijing.cn”的森林根节点。展开后,可见如下几个主要节点:域,默认情况下是与森林同名的域;组策略对象(Group Policy Objects——GPO),是存放所有组策略的节点,包括用户创建的和默认域策略以及默认域控制器策略;Starter GPOS(初级使用者GPO),它衍生自一个GPO,并且具有将一组管理模板策略集成在一个对象中的能力(Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative Template policy settings in a single object.摘自:帮助文件)。这是Windows 2008中新增的功能,你可以把它理解为事先定制好的、针对不同使用环境的模板,对于不熟悉组策略配置的用户只要拿过来用就好了。这会大大简化简单环境中组策略的配置,以及复杂环境组策略的部署,是一个非常实用的功能。再有就是“站点”节点和“组策略结果集”,我会在后续文章中详细介绍。

截图29图二

      万事皆是由简入繁,让我们从创建第一个GPO开始建立对于组策略的初步认识吧。

    导航到beijing.cn的域节点上点击右键,在弹出的右键菜单中选择“新建组织单位”,如图三所示。不是在讨论组策略吗?怎么又创建组织单位了呢?这里有个概念,需要牢记:GPO只能链接到容器上,所以我们首先要创建一个用于实验的OU——market。

截图30图三

截图31 

  图四

     接下来,在刚刚创建的OU上点击右键,从菜单中选择“在此域中创建GPO并链接于此”命令。在弹出的对话框中,为你的GPO起一个有意义的名字,比如:GPO_market,在此处就可以选择你系统上已经存在的或是导入的STARTER GPO,我们此时不选,单独创建一个用于market这个OU的GPO。如图五、图六。

 

截图36 

图五

截图37

                                                                        图六

创建了GPO后,我们发现在OU节点下有一个到该对象的链接,而真正的GPO是在“组策略对象”节点下的。(如图七)

截图38

图七

     好,相信大家都看懂了如何利用组策略管理控制台工具为一个容器创建并链接一个GPO。那么,接下来我们要去配置这个GPO并验证效果,以便大家对于组策略对象的配置和应用有一个感性的认识。首先,让我们打开管理工具中的“AD的用户和计算机”管理控制台,在新建的market中创建一个叫'Eric’的用户,等一下我们要用这个用户验证组策略的配置。(如图八)

截图39图八

    下面,我们返回到“组策略管理控制台”,导航到刚刚创建并已经链接到market OU上的GPO上点击右键,在弹出菜单上选择“编辑”命令,打开“组策略编辑器”。(如图九、图十)

截图40

图九

  截图41

                                                                                                                                    图十

      在组策略编辑器中,有两个节点——计算机配置和用户配置。无论你在编辑的是哪一个GPO,都有且只有这两个节点。这两个节点中的配置项分别针对域中的计算机和用户生效。鉴于本文的目标是向大家介绍“组策略管理控制台”的使用和组策略的初步入门,所以笔者将利用组策略编辑器编辑一条有关用户配置的组策略,然后去验证它是否生效。展开“用户配置”节点下的子节点“策略”,并导航到“Windows设置——Internet Explorer维护——浏览器用户界面”,并双击位于右边的“浏览器标题”项目,对它进行设置。这个配置在企业中比较常见,现在的企业都比较讲究对外对内的形象,统一用户界面是常用的一种方法。编辑好选项后,点击“确定”退出编辑。(如图十一、十二)

截图00 图十

截图01

图十一

      接着,我们打开cmd窗口,键入如图命令来强制策略的更新,以便可以立刻验证。(如图十二)

截图42

      策略配置好以后,我们启动一台win7客户端来验证。首先要保证win7客户端已经加入域,其次要用我们刚刚创建的Eric账号登录。(如图十三)

截图44

图十三

      登录后,我们打开IE浏览器,将看到在IE的标题栏中显示出了在策略中设置的字符串,说明策略对Eric生效了。(如图十四)

截图46图十四

    为了确认,我们再用administrator登录, 比较一下二者的差别。(如图十五、十六)

截图47 截图48

                               图十五                                                                                              图十六

      好,至此我们认识了“组策略管理控制台”,并且使用它创建了OU,链接了GPO,配置了一条组策略,并验证了结果。相信大家对这个工具已经有了初步认识。文中有任何错误和不当之处,欢迎大家指正。

GPMC即组策略管理控制台,与windows 2000/2003 Server上传统的组策略编辑器截然不同,由一个全新的MMC管理单元及一整套脚本化的接口组成,提供了集中的组策略管理方案,可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题,解决组策略部署中的难点,   减轻了IT管理员们在实施组策略时所承担的沉重包袱。   组策略概述   相信"组策略"(Group Policy)这个名词已经为广大的Windows用户所知晓。微软在Windows NT 4.0中早就有了基于策略的管理--策略编辑器--一个深受NT管理员欢迎的实用程序,但它个并不为大多数用户所掌握并加以应用。为此,微软在 Windows 2000中不但彻底更新了目录服务,而且推出了与这个目录完全集成的策略管理--组策略对象(GPO)。随着Windows 2000的深入应用,组策略的应用也随之遍地开花,影响力远远超过了它的前身。可以说,组策略配置的正确与否将与您整个网络息息相关--虽然您可以完全放弃它,然而,作为一种手段,组策略的成功应用将起到事半功倍的效果。   GPMC的起源   当然,并不是每个人都成功了。随着组策略的深入应用,对这些组策略管理成了用户最大的负担,而部分用户根本无法预料他所配置的组策略会产生什么样的后果,很多时候结果大大出乎他们的意料。在微软新闻组里,恐怕最著名的组策略问题就是"本地策略不允许您交互式登录"。GPMC(Group Policy Management Console,组策略管理控制台)就是微软在汲取遍布全球的合作伙伴及大量客户反馈的基础上酝酿而成的。   GPMC由一个全新MMC管理单元及一整套脚本化的接口组成,提供了集中的组策略管理方案,可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题,解决组策略部署中的难点,减轻了IT管理员们在实施组策略时所承担的沉重包袱
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值