tveirectory環(huán)境中使用組策略管理控制臺(tái)GPMC_第1頁(yè)
tveirectory環(huán)境中使用組策略管理控制臺(tái)GPMC_第2頁(yè)
tveirectory環(huán)境中使用組策略管理控制臺(tái)GPMC_第3頁(yè)
已閱讀5頁(yè),還剩5頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、關(guān)于組策略管理控制臺(tái)使用的逐步式指南該逐步式指南提供了在 Active Directory環(huán)境中使用組策略管理控制臺(tái) (GPMC) 來(lái)支持組策略對(duì)象 (GPO) 的一般性指導(dǎo)。該指南并不提供 GPO 實(shí)施指導(dǎo)。本頁(yè)內(nèi)容簡(jiǎn)介逐步式指南Windows Server 2003 部署逐步式指南提供了很多常見(jiàn)操作系統(tǒng)配置的實(shí)際操作經(jīng)驗(yàn)。本指南首先介紹通過(guò)以下過(guò)程來(lái)建 立通用網(wǎng)絡(luò)結(jié)構(gòu):安裝 Windows Server 2003 ;配置 Active Directory?;安裝 Windows XP Professional 工作站并最后將此工作站添加到域中。后續(xù)逐步式指南假定您已建立了此通用網(wǎng)絡(luò)結(jié)構(gòu)。如

2、果您不想遵循此通用網(wǎng)絡(luò)結(jié)構(gòu),則需要在 使用這些指南時(shí)進(jìn)行適當(dāng)?shù)男薷?。通用網(wǎng)絡(luò)結(jié)構(gòu)要求完成以下指南。在配置通用網(wǎng)絡(luò)結(jié)構(gòu)后,可以使用任何其他的逐步式指南。注意,某些逐步式指南除具備通用網(wǎng)絡(luò)結(jié)構(gòu)要求外,可能還需要滿足額外的先決條件。任何額外的要求都將列在特定的逐步式指南中。Microsoft Virtual PC可以在物理實(shí)驗(yàn)室環(huán)境中或通過(guò)虛擬化技術(shù)(如Microsoft Virtual PC 2004或 Microsoft Virtual Server 2005 )來(lái)實(shí)施 Windows Server 2003 部署逐步式指南。借助于虛擬機(jī)技術(shù),客戶可以同時(shí)在一臺(tái)物理服務(wù)器上運(yùn)行多個(gè)操作系統(tǒng)。Vi

3、rtual PC 2004 和 Virtual Server 2005就是為了在軟件測(cè)試和開(kāi)發(fā)、舊版應(yīng)用程序遷移以及服務(wù)器整合方案中提高工作效率而設(shè)計(jì)的。Windows Server 2003 部署逐步式指南假定所有配置都是在物理實(shí)驗(yàn)室環(huán)境中完成的,但大多數(shù)配置不經(jīng)修改就可以應(yīng)用 于虛擬環(huán)境。將這些逐步式指南中提供的概念應(yīng)用于虛擬環(huán)境超出了本文的討論范圍。重要說(shuō)明 此處作為例子提到的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、個(gè)人、地點(diǎn)和事件純屬虛構(gòu),決不意指,也不應(yīng)由 此臆測(cè)任何公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、個(gè)人、地點(diǎn)或事件。此通用基礎(chǔ)結(jié)構(gòu)是為在專用網(wǎng)絡(luò)上使用而設(shè)計(jì)的。此通用結(jié)

4、構(gòu)中使用的虛擬公司名稱和域名系統(tǒng) (DNS) 名稱并未注冊(cè)以 便在 Internet 上使用。您不應(yīng)在公共網(wǎng)絡(luò)或 Internet 上使用此名稱。此通用結(jié)構(gòu)的 Active Directory服務(wù)結(jié)構(gòu)用于說(shuō)明“ Windows Server 2003更改和配置管理"如何與 Active Directory配合使用。不能將其作為任何組織進(jìn)行Active Directory 配置的模型。概述Microsoft 組策略管理控制臺(tái)(GPMC)是一個(gè)用于組策略管理的新工具,它通過(guò)改進(jìn)易管理性和提高效率幫助管理員更經(jīng)濟(jì)有效地管理企業(yè)。它包含一個(gè)新的Microsoft管理控制臺(tái)(MMC)管理單元和

5、一組可編程接口。GPMC提供單一位置來(lái)管理組策略核心內(nèi)容,從而簡(jiǎn)化了組策略的管理。它可以根據(jù)用戶需要提供以下功能來(lái)滿足最高的組策略部署要求。?使組策略更易于使用的用戶界面(UI)。?組策略對(duì)象(GPO)備份/還原。? GPO 導(dǎo)入 / 導(dǎo)出和復(fù)制 / 粘貼以及 Windows Management Instrumentation (WMI)篩選器。?簡(jiǎn)化了對(duì)組策略相關(guān)安全功能的管理。? GPO設(shè)置和策略的結(jié)果集(RSoP)數(shù)據(jù)的超文本標(biāo)記語(yǔ)言 (HTML)報(bào)告。?將此工具中提供的策略相關(guān)任務(wù)編制成腳本(而不是將GPO設(shè)置編制成腳本)。過(guò)去,管理員需要使用幾個(gè) Microsoft工具來(lái)管理組策略

6、,女口“Active Directory 用戶和計(jì)算機(jī)"、“Active Directory站點(diǎn)和服務(wù)”以及“策略的結(jié)果集”管理單元。GPMC將這些工具中提供的現(xiàn)有組策略功能以及一些新功能集成到一個(gè)統(tǒng)一的控制臺(tái)中。GPMC中內(nèi)置了對(duì)多個(gè)域和林管理的支持,因此,管理員可以方便地管理整個(gè)企業(yè)中的組策略。管理員可以完全控制在 GPMC中列出哪些林和域,因而可以只顯示環(huán)境的相關(guān)部分。注意:該逐步式指南只提供使用GPMC來(lái)管理GPO的指導(dǎo),并不提供有關(guān)其配置的指導(dǎo)。有關(guān)配置GPO的信息,請(qǐng)參見(jiàn)。先決條件安裝和配置 GPMC安裝 GPMCGPMC安裝是一個(gè)涉及運(yùn)行 Windows Install

7、er (.MSI)程序包的簡(jiǎn)單過(guò)程。要下載最新版本,請(qǐng)參見(jiàn) Windows ServerSystem 組策略管理站點(diǎn),網(wǎng)址為:。要安裝組策略管理控制臺(tái),請(qǐng)按照以下步驟操作:1. 在服務(wù)器“ HQ-CON-DC41”上,瀏覽到包含“”的文件夾,雙擊“”程序包,然后單擊“下一步”。2. 單擊“我同意”,接受最終用戶許可協(xié)議 (EULA) ,然后單擊“下一步”。3. 單擊“完成”以完成 GPMC 安裝。在安裝完成后,更新 Active Directory 管理單元中站點(diǎn)、域和組織單位 (OU) 屬性頁(yè)上顯示的“組策略”選項(xiàng)卡以提供到GPMC的直接鏈接。由于所有組策略管理功能都是通過(guò)GPMC提供的,因

8、此,無(wú)法再使用先前在原始“組策略”選項(xiàng)卡上提供的功能。要打開(kāi) GPMC 管理單元,請(qǐng)按照以下步驟操作:1. 在服務(wù)器“ HQ-CON-DC41”上,單擊“開(kāi)始”按鈕,單擊“運(yùn)行”,鍵入: 然后單擊“確定”。注意: 此外,也可以使用以下兩種方法之一啟動(dòng)GPMC。? 在“開(kāi)始”菜單或“控制面板”中,單擊“管理工具”文件夾中的“組策略管理”快捷方式。?創(chuàng)建自定義的 MMC控制臺(tái):?jiǎn)螕簟伴_(kāi)始”按鈕,單擊“運(yùn)行”,鍵入“MM”,然后單擊“確定”。 指向“文件”, 單擊“添加 / 刪除管理單元”, 然后單擊“添加”。 單擊以突出顯示“組策略管理”, 單擊“添加”, 單擊“關(guān)閉”, 然后單擊“確定”。為多個(gè)

9、林配置 GPMC您可以方便地將多個(gè)林添加到GPMC控制臺(tái)樹(shù)中。默認(rèn)情況下,只有在某個(gè)林與運(yùn)行 GPMC的用戶林之間具有雙向信任關(guān)系時(shí),才能將其添加到 GPMC中。您可以有選擇地允許 GPMC使用僅單向信任關(guān)系或根本不使用信任關(guān)系。通過(guò)突出顯示 樹(shù)根目錄中的“組策略管理”,從上下文菜單中選擇“操作”,然后單擊“添加林”,將另一個(gè)林添加到GPMC 中。由于示例環(huán)境只包含單個(gè)林,因此,執(zhí)行這些步驟超出了本逐步式指南的討論范圍。注意: 在添加不受信任的林時(shí),將無(wú)法使用某些功能。例如,不能使用“組策略建?!?,并且無(wú)法打開(kāi)“組策略對(duì)象編輯器”以編輯不受信任的林中的GPQ不受信任的林方案主要用于支持跨林復(fù)制

10、GPQ同時(shí)管理多個(gè)域GPMC支持同時(shí)管理多個(gè)域,并且每個(gè)域在控制臺(tái)中是按林進(jìn)行分組的。默認(rèn)情況下,GPMC中只顯示一個(gè)域。在首先使用預(yù)配置的管理單元或自定義MMC控制臺(tái)啟動(dòng)GPMC后,GPMC將顯示包含用于啟動(dòng) GPMC的用戶帳戶的域。通過(guò)添加和刪除控制臺(tái)中顯示的域,您可以指定每個(gè)林中要使用GPMC 管理的域。注意: 即使您沒(méi)有整個(gè)林的林信任關(guān)系,您也可添加外部信任域。默認(rèn)情況下,要添加的域和用戶對(duì)象域之間必須具有雙向信任關(guān)系。 也可以通過(guò)使用“查看”菜單中的“選項(xiàng)”對(duì)話框禁用GPMC 的信任檢測(cè)功能, 來(lái)添加具有單向信任關(guān)系的域。要添加外部信任域,您必須先使用“添加林”對(duì)話框,從包含外部信任

11、域的林中添加一個(gè)域。在添加該林后,您可通過(guò)右鍵單擊該林的“域”節(jié)點(diǎn),然后單擊“顯示域”,在該受信任的林中添加任何域。1. 在“組策略管理”窗口中,單擊“林:”旁邊的加號(hào)(+)將樹(shù)展開(kāi),然后單擊“域”旁邊的加號(hào)(+)。2. 右鍵單擊“域”,然后單擊“顯示域”。3. 圖1.顯示域在GPMC的每個(gè)可用域中,可使用相同的域控制器來(lái)完成該域中的所有操作。這包括位于該域中的GPO OU安全主體以及WMI篩選器上的所有操作。另外,在從GPMC中打開(kāi)"組策略對(duì)象編輯器”時(shí),它始終將GPMC中的目標(biāo)域控制器用于GPO所在的域。GPMC允許您為每個(gè)域選擇使用哪個(gè)域控制器。您可以選擇四個(gè)選項(xiàng)之一。?使用主

12、域控制器(PDC)模擬器(默認(rèn)選項(xiàng))。?使用任何可用的域控制器。?使用運(yùn)行 Windows Server 2003家族操作系統(tǒng)的任何可用域控制器。如果您要還原包含組策略軟件安裝設(shè)置的已刪除GPO,該選項(xiàng)是非常有用的。?使用指定的特定域控制器。1.2.3.單擊“確定”繼續(xù)。圖2.更改域控制器管理組策略對(duì)象查看域GPO在每個(gè)域中,GPMC都提供了一個(gè)基于策略的 Active Directory 視圖以及與組策略關(guān)聯(lián)的組件,如 GPO WMI篩選器以 及GPO鏈接。GPMC中的視圖與“ Active Directory 用戶和計(jì)算機(jī)” MMC管理單元中的視圖類似,它們都顯示0U分層結(jié)構(gòu)。然而,GPM

13、C與該管理單元不同之處在于,它不顯示 0U中的用戶、計(jì)算機(jī)和組,而顯示鏈接到每個(gè)容器的GPO以及鏈接到這些GPO本身的GPQGPMC中的每個(gè)域節(jié)點(diǎn)都顯示以下項(xiàng)目。?鏈接到該域的所有 GPOo所有頂級(jí)0U、嵌套0U樹(shù)狀視圖以及鏈接到每個(gè) 0U的GPQ 顯示域中所有GPO的“組策略對(duì)象”容器。顯示域中所有 WMI篩選器的“ WMI篩選器”容器要查看與特定容器關(guān)聯(lián)的GPO,請(qǐng)按照以下步驟操作:1. 在“域”樹(shù)下,單擊“”樹(shù)。此時(shí)將出現(xiàn)與該容器(域根目錄)關(guān)聯(lián)的GPO,如圖3所示??蓪⒋烁拍顟?yīng)用于任何域容器。圖 3. 域根目錄中的 GPO要查看與特定域關(guān)聯(lián)的所有GPO,請(qǐng)按照以下步驟操作:1. 在“域

14、”樹(shù)下,單擊“”旁邊的加號(hào) ( +),然后單擊“組策略對(duì)象”。搜索 GPO可以在林或域級(jí)別進(jìn)行 GPO 搜索。通過(guò)使用單個(gè)或多個(gè)搜索參數(shù),有助于在大量的GPO 中縮小搜索結(jié)果的范圍。要使用多個(gè)搜索參數(shù)在林中查找特定GPO,請(qǐng)按照以下步驟操作:1. 在控制臺(tái)樹(shù)中,右鍵單擊“林 : ”,然后單擊“搜索”。2. 在“搜索項(xiàng)”框中,選擇“ GPO名稱”,鍵入“ Password'作為“值”,然后單擊“添加”。3. 在“搜索項(xiàng)”框中,選擇“計(jì)算機(jī)配置”,選擇“ Security ”作為“值”,然后單擊“添加”。4. 單擊“搜索”。結(jié)果應(yīng)該如圖 4 所示。圖 4. 基于條件的 GPO 搜索5. 在

15、返回搜索結(jié)果后,您可以執(zhí)行以下操作之一:? 要打開(kāi) GPO 進(jìn)行編輯,請(qǐng)單擊“編輯”。? 要保存搜索結(jié)果,請(qǐng)單擊“保存結(jié)果”。在“保存 GPO 搜索結(jié)果”對(duì)話框中,指定保存結(jié)果的文件名稱,然后單擊“保存”。?要瀏覽到在搜索中找到的某個(gè)GPO,請(qǐng)?jiān)谒阉鹘Y(jié)果列表中雙擊該GPOo? 要清除搜索結(jié)果,請(qǐng)單擊“清除”。?要關(guān)閉“搜索組策略對(duì)象”對(duì)話框,請(qǐng)單擊“關(guān)閉”。確定 GPO 的作用域只能通過(guò)正確地將 GPO應(yīng)用于要管理的 Active Directory 容器來(lái)實(shí)現(xiàn)組策略值。確定哪些用戶和計(jì)算機(jī)接收GPO中的設(shè)置的過(guò)程稱為“確定 GPO的作用域”。確定 GPO作用域的過(guò)程基于三個(gè)因素。? GPO

16、鏈接到的站點(diǎn)、 域或 OU ?將 GPO 中的設(shè)置應(yīng)用于用戶和計(jì)算機(jī)的主要機(jī)制是, 將 GPO 鏈接到 Active Directory中的站點(diǎn)、域或 0U。鏈接GPO的位置稱為"管理作用域”或 SOM (在前面的白皮書中也將其視為 SDOU o SOM共有 三種類型:站點(diǎn)、域和 OU??蓪⒁粋€(gè)GPO鏈接到多個(gè)SOM,也可以將一個(gè) SOM鏈接到多個(gè) GPO要應(yīng)用某個(gè) GPO, 您必須將其鏈接到 SOMoGPO 上的安全篩選 默認(rèn)情況下,位于鏈接了 GPO 的 SOM 及其子對(duì)象中的所有 Authenticated Users (已授權(quán)用戶)GPO中的設(shè)置。這稱為將應(yīng)用GPO中的設(shè)置。

17、通過(guò)管理GPO中的權(quán)限,您可以進(jìn)一步細(xì)化哪些用戶和計(jì)算機(jī)將接收“安全篩選”。對(duì)于要應(yīng)用于特定用戶或計(jì)算機(jī)的GPO,該用戶或計(jì)算機(jī)必須擁有該GPO的“讀取”和“應(yīng)用組策略”權(quán)限。默認(rèn)情況下, GPO 權(quán)限允許“ Authenticated Users ”組擁有這兩個(gè)權(quán)限。這就是在將新 GPO 鏈接到 SOM(OU域或站點(diǎn))時(shí),所有已授權(quán)用戶接收該 GPO設(shè)置的方法。但是,可以更改這些權(quán)限,將GPO的作用域限定為它所鏈接到的 SOM 中的一組特定用戶、組和 / 或計(jì)算機(jī)。? GPO 上的 WMI 篩選器 通過(guò)使用 WMI 篩選器, 管理員可以基于目標(biāo)計(jì)算機(jī)屬性 (通過(guò) WMI 實(shí)現(xiàn)) 動(dòng)態(tài)地確定

18、GPO 的作用域。 WMI 篩選器由一個(gè)或多個(gè)查詢組成,這些查詢針對(duì)目標(biāo)計(jì)算機(jī) WMI 儲(chǔ)存庫(kù)的求值結(jié)果為真或假。 WMI 篩選器是與目錄中GPO不同的對(duì)象。要將WMI篩選器應(yīng)用于某個(gè) GPO,請(qǐng)將篩選器鏈接到該 GPO,如GPO的“作用域”選 項(xiàng)卡上的“ WMI篩選”部分所示。每個(gè)GPO只能有一個(gè) WMI篩選器,不過(guò),可以將同一個(gè) WMI篩選器鏈接到多個(gè)GPO在目標(biāo)計(jì)算機(jī)上應(yīng)用鏈接到WMI篩選器的GPO時(shí),將在該目標(biāo)計(jì)算機(jī)上對(duì)該篩選器進(jìn)行求值。如果WMI篩選器計(jì)算結(jié)果為假,則不應(yīng)用GPOo如果 WMI篩選器計(jì)算結(jié)果為真,則應(yīng)用GPQ要確定在以前搜索中找到的“ Domain Password

19、Policy ” GPO的作用域,請(qǐng)按照以下步驟操作:1. 在“搜索組策略對(duì)象"搜索結(jié)果窗格中,雙擊“ Domain Password Policy ",然后單擊“關(guān)閉”。注意:在關(guān)閉“搜索組策略對(duì)象”對(duì)話框后,以前選擇的GPO在GPMC中具有焦點(diǎn)。此時(shí)將出現(xiàn)“ GPO作用域”頁(yè),如圖5所示。圖 5. 確定 GPO 的作用域要檢查 GPO 將應(yīng)用的策略,請(qǐng)按照以下步驟操作:1. 在“ Domain Password Policy "結(jié)果窗格中,單擊“設(shè)置"選項(xiàng)卡,然后單擊"全部顯示"。此時(shí)將顯示所有已定義策略設(shè)置的摘要(如圖 6所示)

20、,但不顯示未定義的設(shè)置。圖 6. 檢查 GPO 設(shè)置GPO策略繼承和鏈接順序特定容器的“組策略繼承”選項(xiàng)卡顯示從父容器繼承的所有GPO(鏈接到站點(diǎn)上的 GPO除外)。該選項(xiàng)卡中的“優(yōu)先”列顯示所有鏈接的總體優(yōu)先級(jí)(這些鏈接將應(yīng)用于該容器中的對(duì)象),并考慮“鏈接順序”和每個(gè)鏈接的“強(qiáng)制”屬性以 及“阻止繼承”。要查看容器中的策略繼承,請(qǐng)按照以下步驟操作:1. 在“組策略管理”窗口的"”樹(shù)下面,展開(kāi)“ Accounts” OU然后單擊“ Headquarters ” OU,如圖7所示。圖 7. 組策略繼承如果將多個(gè)GPO鏈接到相同的容器,并且這些GPO具有相同的設(shè)置,則必須有一個(gè)協(xié)調(diào)這些

21、設(shè)置的機(jī)制。這種行為是由鏈接順序控制的。鏈接順序編號(hào)越小,優(yōu)先級(jí)越高。特定容器鏈接的相關(guān)信息顯示在該容器的“鏈接的組策略對(duì)象”選項(xiàng)卡中。該窗格顯示是否強(qiáng)制進(jìn)行鏈接,是否啟用鏈接,GPO狀態(tài),是否應(yīng)用 WMI篩選器,其修改時(shí)間以及存儲(chǔ)它的域容器。委派了“將 GPO鏈接到容器”權(quán)限的管理員或用戶可以使用以下方法更改鏈接順序:突出顯示GPO鏈接,然后使用向上和向下箭頭,在鏈接順序列表中向上或向下移動(dòng)鏈接。要更改容器中的策略鏈接順序,請(qǐng)按照以下步驟操作:1. 在“ Headquarters "屏幕上,單擊"鏈接的組策略對(duì)象,2. 在“GPO列下面,單擊“ Linked Polici

22、es ",然后單擊"鏈接順序”列左側(cè)的向上箭頭。完成后,“Headquarters ” OU下面 GPO的鏈接順序應(yīng)該如圖 8所示。圖8. GPO鏈接順序GPO備份、還原、復(fù)制以及導(dǎo)入備份GPOGPO備份操作將GPO中的數(shù)據(jù)復(fù)制到文件系統(tǒng)中。備份功能還具有 GPO導(dǎo)出功能。可使用GPO備份將GPO還原到已備份狀態(tài),或者將備份中的設(shè)置導(dǎo)入到另一個(gè)GPO中。GPO備份操作將GPO內(nèi)部存儲(chǔ)的所有信息保存到文件系統(tǒng)中。其中包括以下內(nèi)容:? GPO全局唯一標(biāo)識(shí)符(GUID)和域GPO設(shè)置? GPO中的自由訪問(wèn)控制列表(DACL)? WMI篩選器鏈接(如果有的話),但不包括篩選器本身?

23、到IP安全策略的鏈接(如果有的話)? GPO設(shè)置的可擴(kuò)展標(biāo)記語(yǔ)言(XML)報(bào)告(可將其視為 GPMC中的HTML)?備份的日期和時(shí)間戳?用戶提供的備份說(shuō)明GPO備份操作只保存在 GPO中存儲(chǔ)的數(shù)據(jù)。在 GPO外面存儲(chǔ)的數(shù)據(jù)包括以下內(nèi)容:?至U站點(diǎn)、域或OU的鏈接? WMI篩選器? IP安全策略在將備份還原到原始 GPO或?qū)胄翯PO時(shí),該數(shù)據(jù)不可用。要備份“ Domain Password Policy ” GPO請(qǐng)按照以下步驟操作:1. 在“組策略管理”窗口的“”樹(shù)下面,單擊“組策略對(duì)象”文件夾。2. 在“組策略對(duì)象”文件夾中,右鍵單擊“ Domain Password Policy ” G

24、PO然后單擊“備份”。3. 在“備份組策略對(duì)象”對(duì)話框中,鍵入“ c:windows”作為“位置”,鍵入“ Domain Password Policy Backup ”作為“描述”,然后單擊“備份”。4. 在備份完成后,單擊“確定”繼續(xù)。管理備份 可以將多個(gè)相同或不同的 GPO 備份存儲(chǔ)在相同的文件系統(tǒng)位置中。每個(gè)備份都使用唯一的備份 ID 來(lái)標(biāo)識(shí)??梢允褂?GPMC中的“管理備份”對(duì)話框或通過(guò)可編程接口來(lái)管理特定文件系統(tǒng)位置中的備份集合??赏ㄟ^(guò)右鍵單擊特定域中的 “域”節(jié)點(diǎn)或“組策略對(duì)象”節(jié)點(diǎn)來(lái)訪問(wèn)“管理備份”對(duì)話框。 在從“組策略對(duì)象”節(jié)點(diǎn)中打開(kāi)“管理備份”時(shí), 就會(huì)自 動(dòng)對(duì)視圖進(jìn)行篩選

25、, 以便只顯示該域的 GPO 備份。 在從“域”節(jié)點(diǎn)中打開(kāi)“管理備份”對(duì)話框時(shí), 將會(huì)顯示所有備份 (無(wú) 論備份來(lái)自哪個(gè)域)。要管理可用的 GPO 備份,請(qǐng)按照以下步驟操作:1. 在“組策略管理”窗口的“”樹(shù)下面, 右鍵單擊“組策略對(duì)象”文件夾, 然后單擊“管理備份”。 此時(shí)將出現(xiàn)“管理 備份”窗口,如圖 9 所示。圖 9. 管理備份2. 在“管理備份"窗口中,單擊以突出顯示先前創(chuàng)建的“ Domain Password Policy Backup",然后單擊“查看設(shè)置"。3. 查看詳細(xì)的 GPO 信息,然后關(guān)閉“ Internet Explorer ”。從備份還原

26、GPO還原操作從備份數(shù)據(jù)中重新創(chuàng)建GPO??梢栽谙铝袃煞N情況下使用還原操作:備份了 GPO但以后將其刪除;或GPO處于活動(dòng)狀態(tài),并且您要回滾到先前的已知狀態(tài)。還原操作將替代以下GPO 組件。? GPO 設(shè)置? GPO 上的 DACL? WMI 篩選器鏈接(但不包括篩選器本身) 還原操作只能還原屬于 GPO 的對(duì)象,其中包括到站點(diǎn)、域或 OU 的鏈接、 WMI 篩選器以及 IPSec 策略。要還原“ Domain Password Policy ” GPO請(qǐng)按照以下步驟操作:1. 在“管理備份”窗口中,單擊“還原”。2. 在出現(xiàn)提示時(shí),單擊“確定”還原選定的備份。3. 在 GPO 還原完成后,單

27、擊“確定”。4. 在“管理備份”對(duì)話框中,單擊“關(guān)閉”。復(fù)制 GPO您可以使用復(fù)制操作,將 Active Directory中現(xiàn)有 GPO 的設(shè)置直接傳送到新的 GPO 中。將為復(fù)制操作期間創(chuàng)建的新GPO指定一個(gè)新的 GUID,并且將其解除鏈接。可以使用復(fù)制操作,將設(shè)置傳送到相同域、相同林的其他域或其他林的域 中的新GPO。因?yàn)閺?fù)制操作將 Active Directory中的現(xiàn)有GPO作為源,所以源和目標(biāo)域之間需要具有信任關(guān)系。復(fù)制操作適用于在生產(chǎn)環(huán)境之間移動(dòng)組策略。 只要源和目標(biāo)域之間具有信任關(guān)系, 就可以使用這些操作將測(cè)試域或林中經(jīng)過(guò)測(cè) 試的組策略遷移到生產(chǎn)環(huán)境中。要復(fù)制GPO,請(qǐng)按照以下

28、步驟操作:1. 在""樹(shù)下面的"組策略對(duì)象”文件夾中,右鍵單擊“Enforced User Policies ” GPO然后單擊“復(fù)制”。2. +)將樹(shù)展開(kāi),然后單擊“組策略對(duì)象”旁邊的加號(hào)(+)將樹(shù)展開(kāi)。3. 右鍵單擊“組策略對(duì)象”,然后單擊“粘貼”。4. 在“跨域復(fù)制向?qū)А敝?,單擊“下一步”繼續(xù)。5. 在“指定權(quán)限”屏幕上,選擇“新GPO使用默認(rèn)權(quán)限”(默認(rèn)),如圖 10所示,然后單擊“下一步”。圖10.跨域復(fù)制向?qū)?. 在掃描完原始 GPO后,單擊“下一步”繼續(xù)。7. 在“完成跨域復(fù)制向?qū)А逼聊簧?,檢查設(shè)置,然后單擊“完成”。8. 在完成復(fù)制操作后,單擊“確定”。注意:1.導(dǎo)入GPO導(dǎo)入操作使用文件系統(tǒng)位置中的已備份GPO作為其源,將設(shè)置傳送到 Active Directory中的現(xiàn)有GPQ可以使用導(dǎo)入操作,將一個(gè) GPO的設(shè)置傳送到相同域中的其他GPO相同林中其他域的GPO或不同林中域的 GPOo導(dǎo)入操作始終將已備份設(shè)置放在現(xiàn)有的 GPO中。它會(huì)清除目標(biāo)GPO中預(yù)先存在的任何設(shè)置。導(dǎo)入并不要求源域和目標(biāo)域之間具有信任關(guān) 系,因此,非常適用于在沒(méi)有信任關(guān)系的林和域之間傳送設(shè)置。將設(shè)置導(dǎo)入到GPO并不會(huì)影響其DACL;也不會(huì)影響站點(diǎn)、域或0U到該GPO的鏈接或者到 WMI篩選器的鏈

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論