AD域-组策略

学习目标

v在完成本章的学习后，您将能够：v共同组策略集中管理网络

企业需求

v企业的员工都使用计算机办公，为了管理上的方便，需要对全部的计算机在某些配置上强制性实施统一的配置。例如：密码设置原则、统一安装办公软件。

什么是组策略

v“组策略”中的“组”和我们在以前介绍的用户组并没有什么直接关系，不要把组策略理解为是针对用户组所配置的策略。

v组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括菜单启动项、软件设置，这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。

各种组策略

v计算机是否加入到域对策略的影响是很大的

v没有加入到域中的计算机只有本地策略在起作用v而如果计算机加入到域中，牵涉的组策略就复杂得多了，包括本地策略、默认域策略、默认域控制器策略，还有组织单元上（OU）的策略等

本地策略、本地安全策略

v没有加入到域中的计算机只有本地策略在起作用v本地安全策略是本地策略的一部分

本地安全策略：在管理工具中

本地策略：在MMC中添加

添加管理单元：组策略对象编辑器

本地安全策略是本地策略的一部分

两种配置选项

v计算机配置：用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用到特定的计算机上，当该计算机启动后，自动应用设置的组策略。

v用户配置：用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时，就会应用用户配置组策略。

默认域策略

v域策略会应用到整个域，域策略存储在域控制器上。

v在域控制器中的“管理工具”中的“域安全策略”是默认域策略中一部分。

默认域控制器策略

v默认域控制器策略是应用到域中的域控制器的。v在“Active Directory用户和计算机”窗口中的左边选中“Domain Controllers”，右击鼠标选择“属性”项，选择“组策略”选项卡。

v域控制器中的“管理工具”中的“域控制器安全策略”是默认域控制器策略中的一部分。

v默认域控制器策略是安装Windows 2003时自动创建的、应用到域控制器上的策略。

17.1.4 各种策略存在的位置

各种策略并存时，哪个在起作用？

v作用顺序：

q首先是本地策略

q然后是域策略

q域控制器策略（域控制器上才有）

v如果发生不同组策略对同一策略项设置了不同的值，后者将替代前者

v也就是说本地策略的优先级是最低的。

创建组策略

n每一计算机上的本地策

略都是只能有一个，因

此只能编辑本地策略而

不能创建本地策略

n而域上可以有多个组策

略，我们可以在一个域

上同时应用多个组策略

也可以在原有的策略上直接进行修改

创建新的组策略，则域上有多个策略存在

n有多个策略时，排在

列表上面的组策略具

有较高的优先级

n对于同一策略设置，

上面的组策略会替代

下面的组策略

修改域控制器上的默认策略

设置密码策略