tveirectory環(huán)境中使用組策略管理控制臺(tái)GPMC

1、關(guān)于組策略管理控制臺(tái)使用的逐步式指南該逐步式指南提供了在 Active Directory環(huán)境中使用組策略管理控制臺(tái) (GPMC) 來(lái)支持組策略對(duì)象 (GPO) 的一般性指導(dǎo)。該指南并不提供 GPO 實(shí)施指導(dǎo)。本頁(yè)內(nèi)容簡(jiǎn)介逐步式指南Windows Server 2003 部署逐步式指南提供了很多常見(jiàn)操作系統(tǒng)配置的實(shí)際操作經(jīng)驗(yàn)。本指南首先介紹通過(guò)以下過(guò)程來(lái)建 立通用網(wǎng)絡(luò)結(jié)構(gòu)：安裝 Windows Server 2003 ；配置 Active Directory?；安裝 Windows XP Professional 工作站并最后將此工作站添加到域中。后續(xù)逐步式指南假定您已建立了此通用網(wǎng)絡(luò)結(jié)構(gòu)。如

2、果您不想遵循此通用網(wǎng)絡(luò)結(jié)構(gòu)，則需要在 使用這些指南時(shí)進(jìn)行適當(dāng)?shù)男薷?。通用網(wǎng)絡(luò)結(jié)構(gòu)要求完成以下指南。在配置通用網(wǎng)絡(luò)結(jié)構(gòu)后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具備通用網(wǎng)絡(luò)結(jié)構(gòu)要求外，可能還需要滿足額外的先決條件。任何額外的要求都將列在特定的逐步式指南中。Microsoft Virtual PC可以在物理實(shí)驗(yàn)室環(huán)境中或通過(guò)虛擬化技術(shù)(如Microsoft Virtual PC 2004或 Microsoft Virtual Server 2005 )來(lái)實(shí)施 Windows Server 2003 部署逐步式指南。借助于虛擬機(jī)技術(shù)，客戶可以同時(shí)在一臺(tái)物理服務(wù)器上運(yùn)行多個(gè)操作系統(tǒng)。Vi

3、rtual PC 2004 和 Virtual Server 2005就是為了在軟件測(cè)試和開(kāi)發(fā)、舊版應(yīng)用程序遷移以及服務(wù)器整合方案中提高工作效率而設(shè)計(jì)的。Windows Server 2003 部署逐步式指南假定所有配置都是在物理實(shí)驗(yàn)室環(huán)境中完成的，但大多數(shù)配置不經(jīng)修改就可以應(yīng)用 于虛擬環(huán)境。將這些逐步式指南中提供的概念應(yīng)用于虛擬環(huán)境超出了本文的討論范圍。重要說(shuō)明 此處作為例子提到的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、個(gè)人、地點(diǎn)和事件純屬虛構(gòu)，決不意指，也不應(yīng)由 此臆測(cè)任何公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、個(gè)人、地點(diǎn)或事件。此通用基礎(chǔ)結(jié)構(gòu)是為在專用網(wǎng)絡(luò)上使用而設(shè)計(jì)的。此通用結(jié)

4、構(gòu)中使用的虛擬公司名稱和域名系統(tǒng) (DNS) 名稱并未注冊(cè)以 便在 Internet 上使用。您不應(yīng)在公共網(wǎng)絡(luò)或 Internet 上使用此名稱。此通用結(jié)構(gòu)的 Active Directory服務(wù)結(jié)構(gòu)用于說(shuō)明“ Windows Server 2003更改和配置管理"如何與 Active Directory配合使用。不能將其作為任何組織進(jìn)行Active Directory 配置的模型。概述Microsoft 組策略管理控制臺(tái)（GPMC）是一個(gè)用于組策略管理的新工具，它通過(guò)改進(jìn)易管理性和提高效率幫助管理員更經(jīng)濟(jì)有效地管理企業(yè)。它包含一個(gè)新的Microsoft管理控制臺(tái)（MMC）管理單元和

5、一組可編程接口。GPMC提供單一位置來(lái)管理組策略核心內(nèi)容，從而簡(jiǎn)化了組策略的管理。它可以根據(jù)用戶需要提供以下功能來(lái)滿足最高的組策略部署要求。?使組策略更易于使用的用戶界面（UI）。?組策略對(duì)象（GPO）備份/還原。? GPO 導(dǎo)入 / 導(dǎo)出和復(fù)制 / 粘貼以及 Windows Management Instrumentation （WMI）篩選器。?簡(jiǎn)化了對(duì)組策略相關(guān)安全功能的管理。? GPO設(shè)置和策略的結(jié)果集（RSoP）數(shù)據(jù)的超文本標(biāo)記語(yǔ)言 （HTML）報(bào)告。?將此工具中提供的策略相關(guān)任務(wù)編制成腳本（而不是將GPO設(shè)置編制成腳本）。過(guò)去，管理員需要使用幾個(gè) Microsoft工具來(lái)管理組策略

6、，女口“Active Directory 用戶和計(jì)算機(jī)"、“Active Directory站點(diǎn)和服務(wù)”以及“策略的結(jié)果集”管理單元。GPMC將這些工具中提供的現(xiàn)有組策略功能以及一些新功能集成到一個(gè)統(tǒng)一的控制臺(tái)中。GPMC中內(nèi)置了對(duì)多個(gè)域和林管理的支持，因此，管理員可以方便地管理整個(gè)企業(yè)中的組策略。管理員可以完全控制在 GPMC中列出哪些林和域，因而可以只顯示環(huán)境的相關(guān)部分。注意：該逐步式指南只提供使用GPMC來(lái)管理GPO的指導(dǎo)，并不提供有關(guān)其配置的指導(dǎo)。有關(guān)配置GPO的信息，請(qǐng)參見(jiàn)。先決條件安裝和配置 GPMC安裝 GPMCGPMC安裝是一個(gè)涉及運(yùn)行 Windows Install

7、er (.MSI)程序包的簡(jiǎn)單過(guò)程。要下載最新版本，請(qǐng)參見(jiàn) Windows ServerSystem 組策略管理站點(diǎn)，網(wǎng)址為：。要安裝組策略管理控制臺(tái)，請(qǐng)按照以下步驟操作：1. 在服務(wù)器“ HQ-CON-DC41”上，瀏覽到包含“”的文件夾，雙擊“”程序包，然后單擊“下一步”。2. 單擊“我同意”，接受最終用戶許可協(xié)議 (EULA) ，然后單擊“下一步”。3. 單擊“完成”以完成 GPMC 安裝。在安裝完成后，更新 Active Directory 管理單元中站點(diǎn)、域和組織單位 (OU) 屬性頁(yè)上顯示的“組策略”選項(xiàng)卡以提供到GPMC的直接鏈接。由于所有組策略管理功能都是通過(guò)GPMC提供的，因

8、此，無(wú)法再使用先前在原始“組策略”選項(xiàng)卡上提供的功能。要打開(kāi) GPMC 管理單元，請(qǐng)按照以下步驟操作：1. 在服務(wù)器“ HQ-CON-DC41”上，單擊“開(kāi)始”按鈕，單擊“運(yùn)行”，鍵入: 然后單擊“確定”。注意： 此外，也可以使用以下兩種方法之一啟動(dòng)GPMC。? 在“開(kāi)始”菜單或“控制面板”中，單擊“管理工具”文件夾中的“組策略管理”快捷方式。?創(chuàng)建自定義的 MMC控制臺(tái)：?jiǎn)螕簟伴_(kāi)始”按鈕，單擊“運(yùn)行”，鍵入“MM”，然后單擊“確定”。 指向“文件”， 單擊“添加 / 刪除管理單元”， 然后單擊“添加”。 單擊以突出顯示“組策略管理”， 單擊“添加”， 單擊“關(guān)閉”， 然后單擊“確定”。為多個(gè)

9、林配置 GPMC您可以方便地將多個(gè)林添加到GPMC控制臺(tái)樹(shù)中。默認(rèn)情況下，只有在某個(gè)林與運(yùn)行 GPMC的用戶林之間具有雙向信任關(guān)系時(shí)，才能將其添加到 GPMC中。您可以有選擇地允許 GPMC使用僅單向信任關(guān)系或根本不使用信任關(guān)系。通過(guò)突出顯示 樹(shù)根目錄中的“組策略管理”，從上下文菜單中選擇“操作”，然后單擊“添加林”，將另一個(gè)林添加到GPMC 中。由于示例環(huán)境只包含單個(gè)林，因此，執(zhí)行這些步驟超出了本逐步式指南的討論范圍。注意： 在添加不受信任的林時(shí)，將無(wú)法使用某些功能。例如，不能使用“組策略建?！?，并且無(wú)法打開(kāi)“組策略對(duì)象編輯器”以編輯不受信任的林中的GPQ不受信任的林方案主要用于支持跨林復(fù)制

10、GPQ同時(shí)管理多個(gè)域GPMC支持同時(shí)管理多個(gè)域，并且每個(gè)域在控制臺(tái)中是按林進(jìn)行分組的。默認(rèn)情況下，GPMC中只顯示一個(gè)域。在首先使用預(yù)配置的管理單元或自定義MMC控制臺(tái)啟動(dòng)GPMC后，GPMC將顯示包含用于啟動(dòng) GPMC的用戶帳戶的域。通過(guò)添加和刪除控制臺(tái)中顯示的域，您可以指定每個(gè)林中要使用GPMC 管理的域。注意： 即使您沒(méi)有整個(gè)林的林信任關(guān)系，您也可添加外部信任域。默認(rèn)情況下，要添加的域和用戶對(duì)象域之間必須具有雙向信任關(guān)系。 也可以通過(guò)使用“查看”菜單中的“選項(xiàng)”對(duì)話框禁用GPMC 的信任檢測(cè)功能， 來(lái)添加具有單向信任關(guān)系的域。要添加外部信任域，您必須先使用“添加林”對(duì)話框，從包含外部信任

11、域的林中添加一個(gè)域。在添加該林后，您可通過(guò)右鍵單擊該林的“域”節(jié)點(diǎn)，然后單擊“顯示域”，在該受信任的林中添加任何域。1. 在“組策略管理”窗口中，單擊“林：”旁邊的加號(hào)（+）將樹(shù)展開(kāi)，然后單擊“域”旁邊的加號(hào)（+）。2. 右鍵單擊“域”，然后單擊“顯示域”。3. 圖1.顯示域在GPMC的每個(gè)可用域中，可使用相同的域控制器來(lái)完成該域中的所有操作。這包括位于該域中的GPO OU安全主體以及WMI篩選器上的所有操作。另外，在從GPMC中打開(kāi)"組策略對(duì)象編輯器”時(shí)，它始終將GPMC中的目標(biāo)域控制器用于GPO所在的域。GPMC允許您為每個(gè)域選擇使用哪個(gè)域控制器。您可以選擇四個(gè)選項(xiàng)之一。?使用主

12、域控制器（PDC）模擬器（默認(rèn)選項(xiàng)）。?使用任何可用的域控制器。?使用運(yùn)行 Windows Server 2003家族操作系統(tǒng)的任何可用域控制器。如果您要還原包含組策略軟件安裝設(shè)置的已刪除GPO,該選項(xiàng)是非常有用的。?使用指定的特定域控制器。1.2.3.單擊“確定”繼續(xù)。圖2.更改域控制器管理組策略對(duì)象查看域GPO在每個(gè)域中，GPMC都提供了一個(gè)基于策略的 Active Directory 視圖以及與組策略關(guān)聯(lián)的組件，如 GPO WMI篩選器以 及GPO鏈接。GPMC中的視圖與“ Active Directory 用戶和計(jì)算機(jī)” MMC管理單元中的視圖類似，它們都顯示0U分層結(jié)構(gòu)。然而，GPM

13、C與該管理單元不同之處在于，它不顯示 0U中的用戶、計(jì)算機(jī)和組，而顯示鏈接到每個(gè)容器的GPO以及鏈接到這些GPO本身的GPQGPMC中的每個(gè)域節(jié)點(diǎn)都顯示以下項(xiàng)目。?鏈接到該域的所有 GPOo所有頂級(jí)0U、嵌套0U樹(shù)狀視圖以及鏈接到每個(gè) 0U的GPQ 顯示域中所有GPO的“組策略對(duì)象”容器。顯示域中所有 WMI篩選器的“ WMI篩選器”容器要查看與特定容器關(guān)聯(lián)的GPO,請(qǐng)按照以下步驟操作：1. 在“域”樹(shù)下，單擊“”樹(shù)。此時(shí)將出現(xiàn)與該容器（域根目錄）關(guān)聯(lián)的GPO,如圖3所示?？蓪⒋烁拍顟?yīng)用于任何域容器。圖 3. 域根目錄中的 GPO要查看與特定域關(guān)聯(lián)的所有GPO,請(qǐng)按照以下步驟操作：1. 在“域

14、”樹(shù)下，單擊“”旁邊的加號(hào) （ +），然后單擊“組策略對(duì)象”。搜索 GPO可以在林或域級(jí)別進(jìn)行 GPO 搜索。通過(guò)使用單個(gè)或多個(gè)搜索參數(shù)，有助于在大量的GPO 中縮小搜索結(jié)果的范圍。要使用多個(gè)搜索參數(shù)在林中查找特定GPO,請(qǐng)按照以下步驟操作：1. 在控制臺(tái)樹(shù)中，右鍵單擊“林 : ”，然后單擊“搜索”。2. 在“搜索項(xiàng)”框中，選擇“ GPO名稱”，鍵入“ Password'作為“值”，然后單擊“添加”。3. 在“搜索項(xiàng)”框中，選擇“計(jì)算機(jī)配置”，選擇“ Security ”作為“值”，然后單擊“添加”。4. 單擊“搜索”。結(jié)果應(yīng)該如圖 4 所示。圖 4. 基于條件的 GPO 搜索5. 在

15、返回搜索結(jié)果后，您可以執(zhí)行以下操作之一：? 要打開(kāi) GPO 進(jìn)行編輯，請(qǐng)單擊“編輯”。? 要保存搜索結(jié)果，請(qǐng)單擊“保存結(jié)果”。在“保存 GPO 搜索結(jié)果”對(duì)話框中，指定保存結(jié)果的文件名稱，然后單擊“保存”。?要瀏覽到在搜索中找到的某個(gè)GPO,請(qǐng)?jiān)谒阉鹘Y(jié)果列表中雙擊該GPOo? 要清除搜索結(jié)果，請(qǐng)單擊“清除”。?要關(guān)閉“搜索組策略對(duì)象”對(duì)話框，請(qǐng)單擊“關(guān)閉”。確定 GPO 的作用域只能通過(guò)正確地將 GPO應(yīng)用于要管理的 Active Directory 容器來(lái)實(shí)現(xiàn)組策略值。確定哪些用戶和計(jì)算機(jī)接收GPO中的設(shè)置的過(guò)程稱為“確定 GPO的作用域”。確定 GPO作用域的過(guò)程基于三個(gè)因素。? GPO

16、鏈接到的站點(diǎn)、 域或 OU ?將 GPO 中的設(shè)置應(yīng)用于用戶和計(jì)算機(jī)的主要機(jī)制是， 將 GPO 鏈接到 Active Directory中的站點(diǎn)、域或 0U。鏈接GPO的位置稱為"管理作用域”或 SOM （在前面的白皮書中也將其視為 SDOU o SOM共有 三種類型：站點(diǎn)、域和 OU?？蓪⒁粋€(gè)GPO鏈接到多個(gè)SOM,也可以將一個(gè) SOM鏈接到多個(gè) GPO要應(yīng)用某個(gè) GPO, 您必須將其鏈接到 SOMoGPO 上的安全篩選 默認(rèn)情況下，位于鏈接了 GPO 的 SOM 及其子對(duì)象中的所有 Authenticated Users （已授權(quán)用戶）GPO中的設(shè)置。這稱為將應(yīng)用GPO中的設(shè)置。

17、通過(guò)管理GPO中的權(quán)限，您可以進(jìn)一步細(xì)化哪些用戶和計(jì)算機(jī)將接收“安全篩選”。對(duì)于要應(yīng)用于特定用戶或計(jì)算機(jī)的GPO,該用戶或計(jì)算機(jī)必須擁有該GPO的“讀取”和“應(yīng)用組策略”權(quán)限。默認(rèn)情況下， GPO 權(quán)限允許“ Authenticated Users ”組擁有這兩個(gè)權(quán)限。這就是在將新 GPO 鏈接到 SOM（OU域或站點(diǎn)）時(shí)，所有已授權(quán)用戶接收該 GPO設(shè)置的方法。但是，可以更改這些權(quán)限，將GPO的作用域限定為它所鏈接到的 SOM 中的一組特定用戶、組和 / 或計(jì)算機(jī)。? GPO 上的 WMI 篩選器 通過(guò)使用 WMI 篩選器， 管理員可以基于目標(biāo)計(jì)算機(jī)屬性 （通過(guò) WMI 實(shí)現(xiàn)） 動(dòng)態(tài)地確定

18、GPO 的作用域。 WMI 篩選器由一個(gè)或多個(gè)查詢組成，這些查詢針對(duì)目標(biāo)計(jì)算機(jī) WMI 儲(chǔ)存庫(kù)的求值結(jié)果為真或假。 WMI 篩選器是與目錄中GPO不同的對(duì)象。要將WMI篩選器應(yīng)用于某個(gè) GPO,請(qǐng)將篩選器鏈接到該 GPO,如GPO的“作用域”選 項(xiàng)卡上的“ WMI篩選”部分所示。每個(gè)GPO只能有一個(gè) WMI篩選器，不過(guò)，可以將同一個(gè) WMI篩選器鏈接到多個(gè)GPO在目標(biāo)計(jì)算機(jī)上應(yīng)用鏈接到WMI篩選器的GPO時(shí)，將在該目標(biāo)計(jì)算機(jī)上對(duì)該篩選器進(jìn)行求值。如果WMI篩選器計(jì)算結(jié)果為假，則不應(yīng)用GPOo如果 WMI篩選器計(jì)算結(jié)果為真，則應(yīng)用GPQ要確定在以前搜索中找到的“ Domain Password

19、Policy ” GPO的作用域，請(qǐng)按照以下步驟操作：1. 在“搜索組策略對(duì)象"搜索結(jié)果窗格中，雙擊“ Domain Password Policy "，然后單擊“關(guān)閉”。注意：在關(guān)閉“搜索組策略對(duì)象”對(duì)話框后，以前選擇的GPO在GPMC中具有焦點(diǎn)。此時(shí)將出現(xiàn)“ GPO作用域”頁(yè)，如圖5所示。圖 5. 確定 GPO 的作用域要檢查 GPO 將應(yīng)用的策略，請(qǐng)按照以下步驟操作：1. 在“ Domain Password Policy "結(jié)果窗格中，單擊“設(shè)置"選項(xiàng)卡，然后單擊"全部顯示"。此時(shí)將顯示所有已定義策略設(shè)置的摘要（如圖 6所示）

20、，但不顯示未定義的設(shè)置。圖 6. 檢查 GPO 設(shè)置GPO策略繼承和鏈接順序特定容器的“組策略繼承”選項(xiàng)卡顯示從父容器繼承的所有GPO（鏈接到站點(diǎn)上的 GPO除外）。該選項(xiàng)卡中的“優(yōu)先”列顯示所有鏈接的總體優(yōu)先級(jí)（這些鏈接將應(yīng)用于該容器中的對(duì)象），并考慮“鏈接順序”和每個(gè)鏈接的“強(qiáng)制”屬性以 及“阻止繼承”。要查看容器中的策略繼承，請(qǐng)按照以下步驟操作：1. 在“組策略管理”窗口的"”樹(shù)下面，展開(kāi)“ Accounts” OU然后單擊“ Headquarters ” OU，如圖7所示。圖 7. 組策略繼承如果將多個(gè)GPO鏈接到相同的容器，并且這些GPO具有相同的設(shè)置，則必須有一個(gè)協(xié)調(diào)這些

21、設(shè)置的機(jī)制。這種行為是由鏈接順序控制的。鏈接順序編號(hào)越小，優(yōu)先級(jí)越高。特定容器鏈接的相關(guān)信息顯示在該容器的“鏈接的組策略對(duì)象”選項(xiàng)卡中。該窗格顯示是否強(qiáng)制進(jìn)行鏈接，是否啟用鏈接，GPO狀態(tài)，是否應(yīng)用 WMI篩選器，其修改時(shí)間以及存儲(chǔ)它的域容器。委派了“將 GPO鏈接到容器”權(quán)限的管理員或用戶可以使用以下方法更改鏈接順序：突出顯示GPO鏈接，然后使用向上和向下箭頭，在鏈接順序列表中向上或向下移動(dòng)鏈接。要更改容器中的策略鏈接順序，請(qǐng)按照以下步驟操作：1. 在“ Headquarters "屏幕上，單擊"鏈接的組策略對(duì)象,2. 在“GPO列下面，單擊“ Linked Polici

22、es "，然后單擊"鏈接順序”列左側(cè)的向上箭頭。完成后，“Headquarters ” OU下面 GPO的鏈接順序應(yīng)該如圖 8所示。圖8. GPO鏈接順序GPO備份、還原、復(fù)制以及導(dǎo)入備份GPOGPO備份操作將GPO中的數(shù)據(jù)復(fù)制到文件系統(tǒng)中。備份功能還具有 GPO導(dǎo)出功能。可使用GPO備份將GPO還原到已備份狀態(tài)，或者將備份中的設(shè)置導(dǎo)入到另一個(gè)GPO中。GPO備份操作將GPO內(nèi)部存儲(chǔ)的所有信息保存到文件系統(tǒng)中。其中包括以下內(nèi)容：? GPO全局唯一標(biāo)識(shí)符（GUID）和域GPO設(shè)置? GPO中的自由訪問(wèn)控制列表（DACL）? WMI篩選器鏈接（如果有的話），但不包括篩選器本身?

23、到IP安全策略的鏈接（如果有的話）? GPO設(shè)置的可擴(kuò)展標(biāo)記語(yǔ)言（XML）報(bào)告（可將其視為 GPMC中的HTML）?備份的日期和時(shí)間戳?用戶提供的備份說(shuō)明GPO備份操作只保存在 GPO中存儲(chǔ)的數(shù)據(jù)。在 GPO外面存儲(chǔ)的數(shù)據(jù)包括以下內(nèi)容：?至U站點(diǎn)、域或OU的鏈接? WMI篩選器? IP安全策略在將備份還原到原始 GPO或?qū)胄翯PO時(shí)，該數(shù)據(jù)不可用。要備份“ Domain Password Policy ” GPO請(qǐng)按照以下步驟操作：1. 在“組策略管理”窗口的“”樹(shù)下面，單擊“組策略對(duì)象”文件夾。2. 在“組策略對(duì)象”文件夾中，右鍵單擊“ Domain Password Policy ” G

24、PO然后單擊“備份”。3. 在“備份組策略對(duì)象”對(duì)話框中，鍵入“ c:windows”作為“位置”，鍵入“ Domain Password Policy Backup ”作為“描述”，然后單擊“備份”。4. 在備份完成后，單擊“確定”繼續(xù)。管理備份 可以將多個(gè)相同或不同的 GPO 備份存儲(chǔ)在相同的文件系統(tǒng)位置中。每個(gè)備份都使用唯一的備份 ID 來(lái)標(biāo)識(shí)?？梢允褂?GPMC中的“管理備份”對(duì)話框或通過(guò)可編程接口來(lái)管理特定文件系統(tǒng)位置中的備份集合?？赏ㄟ^(guò)右鍵單擊特定域中的 “域”節(jié)點(diǎn)或“組策略對(duì)象”節(jié)點(diǎn)來(lái)訪問(wèn)“管理備份”對(duì)話框。 在從“組策略對(duì)象”節(jié)點(diǎn)中打開(kāi)“管理備份”時(shí)， 就會(huì)自 動(dòng)對(duì)視圖進(jìn)行篩選

25、， 以便只顯示該域的 GPO 備份。 在從“域”節(jié)點(diǎn)中打開(kāi)“管理備份”對(duì)話框時(shí)， 將會(huì)顯示所有備份 （無(wú) 論備份來(lái)自哪個(gè)域）。要管理可用的 GPO 備份，請(qǐng)按照以下步驟操作：1. 在“組策略管理”窗口的“”樹(shù)下面， 右鍵單擊“組策略對(duì)象”文件夾， 然后單擊“管理備份”。 此時(shí)將出現(xiàn)“管理 備份”窗口，如圖 9 所示。圖 9. 管理備份2. 在“管理備份"窗口中，單擊以突出顯示先前創(chuàng)建的“ Domain Password Policy Backup",然后單擊“查看設(shè)置"。3. 查看詳細(xì)的 GPO 信息，然后關(guān)閉“ Internet Explorer ”。從備份還原

26、GPO還原操作從備份數(shù)據(jù)中重新創(chuàng)建GPO?？梢栽谙铝袃煞N情況下使用還原操作：備份了 GPO但以后將其刪除；或GPO處于活動(dòng)狀態(tài),并且您要回滾到先前的已知狀態(tài)。還原操作將替代以下GPO 組件。? GPO 設(shè)置? GPO 上的 DACL? WMI 篩選器鏈接（但不包括篩選器本身） 還原操作只能還原屬于 GPO 的對(duì)象,其中包括到站點(diǎn)、域或 OU 的鏈接、 WMI 篩選器以及 IPSec 策略。要還原“ Domain Password Policy ” GPO請(qǐng)按照以下步驟操作：1. 在“管理備份”窗口中,單擊“還原”。2. 在出現(xiàn)提示時(shí),單擊“確定”還原選定的備份。3. 在 GPO 還原完成后,單

27、擊“確定”。4. 在“管理備份”對(duì)話框中,單擊“關(guān)閉”。復(fù)制 GPO您可以使用復(fù)制操作,將 Active Directory中現(xiàn)有 GPO 的設(shè)置直接傳送到新的 GPO 中。將為復(fù)制操作期間創(chuàng)建的新GPO指定一個(gè)新的 GUID，并且將其解除鏈接。可以使用復(fù)制操作，將設(shè)置傳送到相同域、相同林的其他域或其他林的域 中的新GPO。因?yàn)閺?fù)制操作將 Active Directory中的現(xiàn)有GPO作為源，所以源和目標(biāo)域之間需要具有信任關(guān)系。復(fù)制操作適用于在生產(chǎn)環(huán)境之間移動(dòng)組策略。 只要源和目標(biāo)域之間具有信任關(guān)系， 就可以使用這些操作將測(cè)試域或林中經(jīng)過(guò)測(cè) 試的組策略遷移到生產(chǎn)環(huán)境中。要復(fù)制GPO,請(qǐng)按照以下

28、步驟操作:1. 在""樹(shù)下面的"組策略對(duì)象”文件夾中，右鍵單擊“Enforced User Policies ” GPO然后單擊“復(fù)制”。2. +）將樹(shù)展開(kāi)，然后單擊“組策略對(duì)象”旁邊的加號(hào)（+）將樹(shù)展開(kāi)。3. 右鍵單擊“組策略對(duì)象”，然后單擊“粘貼”。4. 在“跨域復(fù)制向?qū)А敝?，單擊“下一步”繼續(xù)。5. 在“指定權(quán)限”屏幕上，選擇“新GPO使用默認(rèn)權(quán)限”（默認(rèn)），如圖 10所示，然后單擊“下一步”。圖10.跨域復(fù)制向?qū)?. 在掃描完原始 GPO后，單擊“下一步”繼續(xù)。7. 在“完成跨域復(fù)制向?qū)А逼聊簧?，檢查設(shè)置，然后單擊“完成”。8. 在完成復(fù)制操作后，單擊“確定”。注意：1.導(dǎo)入GPO導(dǎo)入操作使用文件系統(tǒng)位置中的已備份GPO作為其源，將設(shè)置傳送到 Active Directory中的現(xiàn)有GPQ可以使用導(dǎo)入操作，將一個(gè) GPO的設(shè)置傳送到相同域中的其他GPO相同林中其他域的GPO或不同林中域的 GPOo導(dǎo)入操作始終將已備份設(shè)置放在現(xiàn)有的 GPO中。它會(huì)清除目標(biāo)GPO中預(yù)先存在的任何設(shè)置。導(dǎo)入并不要求源域和目標(biāo)域之間具有信任關(guān) 系，因此，非常適用于在沒(méi)有信任關(guān)系的林和域之間傳送設(shè)置。將設(shè)置導(dǎo)入到GPO并不會(huì)影響其DACL;也不會(huì)影響站點(diǎn)、域或0U到該GPO的鏈接或者到 WMI篩選器的鏈