WindowsServer组策略详解.docVIP

组策略详解 更新时间: 2009年1月 应用到: Windows Server 2008 可以使用 Windows Server?2008 组策略来管理计算机和用户组配置，包括以下各项所对应的选项：基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。Windows Server?2008 中新增的组策略首选项是二十多个组策略扩展，用于扩展组策略对象 (GPO) 中的可配置策略设置的范围。与组策略设置相比，首选项是非强制性的。用户可以在初始部署后更改首选项。有关组策略首选项的信息，请参阅 HYPERLINK /fwlink/?linkid=103735 组策略首选项概述（可能为英文网页）。 通过使用组策略，您可以大大降低组织的总拥有成本。各种各样的因素可能会使组策略设计变得非常复杂，例如，大量可用的策略设置、多个策略之间的交互以及继承选项。通过仔细规划、设计、测试并部署基于组织业务要求的解决方案，您可以提供组织所需的标准化功能、安全性以及管理控制。 组策略概述 组策略在运行 Windows Server?2008、Windows Vista、Windows Server?2003 和 Windows?XP 的计算机上启用基于 Active Directory 的用户和计算机设置更改和配置管理。除了使用组策略为用户和计算机组定义配置以外，还可以配置很多服务器特定的操作和安全设置，以便使用组策略帮助管理服务器计算机。 您创建的组策略设置包含在 GPO 中。若要创建和编辑 GPO，请使用组策略管理控制台 (GPMC)。通过使用 GPMC 将 GPO 链接到选定 Active Directory 站点、域和组织单位 (OU)，您可以将 GPO 中的策略设置应用于这些 Active Directory 对象中的用户和计算机。OU 是可以分配组策略设置的最低级别的 Active Directory 容器。 为指导您的组策略设计决策，您需要清楚地了解组织的业务需求、服务级别协议以及安全、网络和 IT 要求。通过分析当前的环境和用户要求，使用组策略定义要实现的业务目标，以及按照这些准则设计组策略基础结构，您可以确定最符合组织需要的方法。 用于实现组策略解决方案的过程 用于实现组策略解决方案的过程涉及规划、设计、部署和维护解决方案。 在规划组策略设计时，请确保设计 OU 结构以简化组策略管理并符合服务级别协议。应制订使用 GPO 的正确操作步骤。确保您了解组策略互操作性问题，并确定是否打算使用组策略进行软件部署。 在设计阶段： 定义组策略的应用范围。 确定适用于所有企业用户的策略设置。 基于角色和位置对用户和计算机进行分类。 基于用户和计算机要求规划桌面配置。 规划完善的设计有助于确保成功部署组策略。 部署阶段从测试环境中的暂存过程开始。该过程包括： 创建标准桌面配置。 筛选 GPO 的应用范围。 指定默认组策略继承的例外情况。 委派组策略管理。 使用组策略建模评估有效的策略设置。 使用组策略结果评估这些结果。 暂存过程至关重要。应在测试环境中全面测试组策略实现，然后再将其部署到生产环境中。完成暂存和测试后，请使用 GPMC 将 GPO 迁移到生产环境中。应考虑循环反复的组策略实现：并非部署 100 种新组策略设置，而是最初暂存并仅部署几种策略设置以验证组策略基础结构是否正常工作。 最后，制订使用组策略以及通过 GPMC 解决 GPO 问题的控制过程以准备维护组策略。 备注 Microsoft 高级组策略管理 (AGPM) 通过提供全面的更改控制和增强的 GPO 管理来扩展 GPMC 功能。有关 AGPM 的详细信息，请访问 Microsoft 桌面优化包 (MDOP) 网站 ( HYPERLINK /fwlink/?LinkId=100757 /fwlink/?LinkId=100757)（可能为英文网页）。 在设计组策略解决方案之前需要执行的操作 在设计组策略实现之前，您需要了解当前的组织环境并需要在以下几个方面执行预备步骤： Active Directory：确保林中所有域的 Active Directory OU 设计都支持应用组策略。有关详细信息，请参阅本指南后面部分中的 HYPERLINK /zh-cn/library/cc754948(v=ws.10) \l BKMK_DESIGNING_OU_STRUCTURE#BKMK_DESIGNING_OU_STRUCTURE 设计支持组策略的 OU 结构。 网络：确保您的网络符合更改和配置管理技术的要求。例如，由于组策略使用完全限定的域名，因此，您必须在林中运行目录名称服务 (DNS) 才能正确处理组策略。 安全：获取域中