《Windows Server2016基础教程》项目6 创建和配置组策略.pptx

项目六;项目六 创建和配置组策略;;;;6.1.1;;所有Windows操作系统都支持本地GPO，有时称为LGPO。从Windows Server 2008 R2和Windows Vista开始，Windows可以支持多个本地GPO。这让我们可以为管理员制定不同的本地GPO，也能为工作站上配置的一个或多个本地用户创建特定的GPO设置。这对于公共场所的计算机特别有意义，因为它们不是Active Directory基础设施的一部分。早期的的Windows版本只能支持一个本地GPO，并且本地GPO中的设置会应用到于登录到计算机的所有用户。 本地GPO包含的选项比域GPO少。它们不支持文件夹重定向或组策略软件安装。可用的安全设置更也少。当本地和非本地（基于Active Directory的）GPO有冲突的设置时，非本地GPO设置覆盖本地GPO设置。;非本地组策略对象在AD DS中创建，并链接到站点、域和OU。一旦链接到容器，默认情况下，GPO中的设置将应用于该容器内的所有用户和计算机。;Starter GPO最早是在Windows Server 2008中引入的。Starter GPO本质上是基于标准设置集合创建域GPO的模板。当我们从Starter GPO创建新GPO时，所有初始策略都会自动复制到新的GPO作为默认设置。;6.1.2;组策略管理控制台是微软管理控制台（MMC）的管理单元，管理员可以使用它来创建GPO并将其部署到AD DS对象。组策略管理编辑器是一个单独的管理单元，可以打开GPO并让我们修改它们的设置。 我们可以依据不同的目标采用不同方法使用这两种工具。我们可以先创建GPO，然后将其链接到域、站点或OU，或者在一步完成创建和链接GPO的工作。Windows Server 2016在添加AD DS角色时会自动安装组策略管理功能，我们也可以通过使用服务器管理器中的【添加角色和功能向导】，在成员服务器上手动安装该功能，该功能也包含在Windows工作站的远程服务器管理工具包中。;如果我们不改变原有的默认GPO，部署自定义组策略设置的第一步是创建一个或多个新GPO并将它们链接到适当的AD DS对象。 以下过程介绍使用组策略管理控制台创建新的GPO并将其链接到AD DS中的OU对象，在本例中，我们将创建一个新的GPO并链接接到“HQ”这个OU： 1. 使用域管理员登录到运行着Windows Server 2016的域控制器，此时会打开【服务器管理器】控制台。 ;2. 在服务器管理器的工具菜单中，我们选则组策略管理，将弹出【组策略管理】控制台，如图6-1-1所示。;3. 展开林容器和域容器，选择【组策略对象】文件夹，当前域中的GPO会出现在【内容】选项卡上。如图6-1-2所示。;4. 右键点击【组策略对象】文件夹，在快捷菜单中选择【新建】，打开【新建GPO】向导。如图6-1-3所示。;5. 在【名称】文本框中输入新GPO的名称，并点击【确定】，新的GPO将会出现在内容列表中。如图6-1-4所示。;6. 在左侧框体，右键选择你想要链接GPO的域、站点或者OU对象（此处我们选择“HQ”这一OU对象），在弹出的快捷菜单中，选择【链接现有GPO】，如图6-1-5所示。;7. 在弹出的【选择GPO】对话框中选择我们刚才新建的GPO，并点击【确定】按钮，如图6-1-6所示。;8. 这时，我们可以看到，GPO已经出现在“HQ”这一OU对象的【链接的组策略对象】选项卡中，如图6-1-7所示。;我们还可以在单个步骤中创建并链接GPO到Active Directory容器，通过右击对象并在快捷菜单中选择【在这个域中创建GPO并在此处链接】，如图6-1-8所示。 如果将GPO链接到域对象，则适用于域中的所有用户和计算机。如果将GPO链接到包含多个域的站点，则将组策略设置应用到所有域和它们下面的子对象。这个过程称为GPO继承。 ;将GPO链接到容器会导致容器中的所有用户和计算机默认应用GPO设置。这是因为创建链接读取GPO的组策略权限并授予容器中的用户和计算机。 要修改GPO的默认安全筛选配置，如我们只将GPO权限分配给用户User01，可以按照以下操作进行 1. 在组策略管理控制台左侧窗格中选择对应的GPO 2. 在右侧安全筛选区域中，我们可以看到默认情况下，GPO的内置设置已经应用到了认证用户（Authenticated Users），这包括链接容器中的所有组、用户和计算机。 3. 我们可以通过【添加】和【删除】按钮将认证用户（Authenticated Users）替换为特定的组、用户和计算机。这里我们先选中【Authenticated Users】，然后点击【删除】按钮，如图6-1-9所示，在随后弹出的警告对话框中点击【确定】。 ;二、使用安全筛