组策略管理在windows域管理中占有重要地位,本身也不是新的内容了。但微软在Windows2008中终于集成了一个非常好用的组策略管理工具——组策略管理控制台。并且为原有的组策略添加了新的元素。本文从介绍组策略管理控制台入手,力求通过比较通俗的语言,为组策略新手开启一扇进入Windows域高级管理的大门。由于本人水平所限,如有不妥之处,请方家不吝赐教。
在08以前的Windows Server中要想配置组策略, 是件麻烦事。后来微软推出了一个小工具——gpmc,才解决了问题,但这个工具需要下载和安装,许多人不知道有这个工具的存在。在Windows 2008中,微软将它集成了进来,大大方便了管理员对于组策略的管理和配置。首先,让我们看看它的庐山真面目吧!点击“开始”,导航到“管理工具”,选择“Group Policy Management”命令,打开组策略管理控制台。(见图一)
图一
正如各位所见,在此管理控制台的根节点,是一个叫做“beijing.cn”的森林根节点。展开后,可见如下几个主要节点:域,默认情况下是与森林同名的域;组策略对象(Group Policy Objects——GPO),是存放所有组策略的节点,包括用户创建的和默认域策略以及默认域控制器策略;Starter GPOS(初级使用者GPO),它衍生自一个GPO,并且具有将一组管理模板策略集成在一个对象中的能力(Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative Template policy settings in a single object.摘自:帮助文件)。这是Windows 2008中新增的功能,你可以把它理解为事先定制好的、针对不同使用环境的模板,对于不熟悉组策略配置的用户只要拿过来用就好了。这会大大简化简单环境中组策略的配置,以及复杂环境组策略的部署,是一个非常实用的功能。再有就是“站点”节点和“组策略结果集”,我会在后续文章中详细介绍。
万事皆是由简入繁,让我们从创建第一个GPO开始建立对于组策略的初步认识吧。
导航到beijing.cn的域节点上点击右键,在弹出的右键菜单中选择“新建组织单位”,如图三所示。不是在讨论组策略吗?怎么又创建组织单位了呢?这里有个概念,需要牢记:GPO只能链接到容器上,所以我们首先要创建一个用于实验的OU——market。
图四
接下来,在刚刚创建的OU上点击右键,从菜单中选择“在此域中创建GPO并链接于此”命令。在弹出的对话框中,为你的GPO起一个有意义的名字,比如:GPO_market,在此处就可以选择你系统上已经存在的或是导入的STARTER GPO,我们此时不选,单独创建一个用于market这个OU的GPO。如图五、图六。
图五
图六
创建了GPO后,我们发现在OU节点下有一个到该对象的链接,而真正的GPO是在“组策略对象”节点下的。(如图七)
图七
好,相信大家都看懂了如何利用组策略管理控制台工具为一个容器创建并链接一个GPO。那么,接下来我们要去配置这个GPO并验证效果,以便大家对于组策略对象的配置和应用有一个感性的认识。首先,让我们打开管理工具中的“AD的用户和计算机”管理控制台,在新建的market中创建一个叫'Eric’的用户,等一下我们要用这个用户验证组策略的配置。(如图八)
下面,我们返回到“组策略管理控制台”,导航到刚刚创建并已经链接到market OU上的GPO上点击右键,在弹出菜单上选择“编辑”命令,打开“组策略编辑器”。(如图九、图十)
图九
图十
在组策略编辑器中,有两个节点——计算机配置和用户配置。无论你在编辑的是哪一个GPO,都有且只有这两个节点。这两个节点中的配置项分别针对域中的计算机和用户生效。鉴于本文的目标是向大家介绍“组策略管理控制台”的使用和组策略的初步入门,所以笔者将利用组策略编辑器编辑一条有关用户配置的组策略,然后去验证它是否生效。展开“用户配置”节点下的子节点“策略”,并导航到“Windows设置——Internet Explorer维护——浏览器用户界面”,并双击位于右边的“浏览器标题”项目,对它进行设置。这个配置在企业中比较常见,现在的企业都比较讲究对外对内的形象,统一用户界面是常用的一种方法。编辑好选项后,点击“确定”退出编辑。(如图十一、十二)
图十一
接着,我们打开cmd窗口,键入如图命令来强制策略的更新,以便可以立刻验证。(如图十二)
策略配置好以后,我们启动一台win7客户端来验证。首先要保证win7客户端已经加入域,其次要用我们刚刚创建的Eric账号登录。(如图十三)
图十三
登录后,我们打开IE浏览器,将看到在IE的标题栏中显示出了在策略中设置的字符串,说明策略对Eric生效了。(如图十四)
为了确认,我们再用administrator登录, 比较一下二者的差别。(如图十五、十六)
图十五 图十六
好,至此我们认识了“组策略管理控制台”,并且使用它创建了OU,链接了GPO,配置了一条组策略,并验证了结果。相信大家对这个工具已经有了初步认识。文中有任何错误和不当之处,欢迎大家指正。