Active Directory 环境中使用组策略管理控制台9468915501该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。

该指南并不提供G PO 实施指导。

本页内容简介逐步式指南Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。

本指南第一介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置Active Directory®；安装Windows XP Professional 工作站并最后将此工作站添加到域中。

后续逐步式指南假定您已建立了此通用网络结构。

如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

••在配置通用网络结构后，能够使用任何其他的逐步式指南。

注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。

任何额外的要求都将列在特定的逐步式指南中。

Microsoft Virtual PC能够在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005）来实施Windows Server 2003部署逐步式指南。

借助于虚拟机技术，客户能够同时在一台物理服务器上运行多个操作系统。

Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。

Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的，但大多数配置不经修改就能够应用于虚拟环境。

将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。

重要讲明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。

此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。

您不应在公共网络或Internet 上使用此名称。

此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。

不能将其作为任何组织进行Active Directory 配置的模型。

概述Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具，它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。

它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。

GPMC 提供单一位置来治理组策略核心内容，从而简化了组策略的治理。

它能够按照用户需要提供以下功能来满足最高的组策略部署要求。

•使组策略更易于使用的用户界面(UI)。

•组策略对象(GPO) 备份/还原。

•GPO 导入/导出和复制/粘贴以及Windows Management Instrumentation (WMI) 选择器。

•简化了对组策略有关安全功能的治理。

•GPO 设置和策略的结果集(RSoP) 数据的超文本标记语言(HTML) 报告。

•将此工具中提供的策略有关任务编制成脚本（而不是将GPO 设置编制成脚本）。

过去，治理员需要使用几个Microsoft 工具来治理组策略，如“Active Directory 用户和运算机”、“Active Directory 站点和服务”以及“策略的结果集”治理单元。

GPMC 将这些工具中提供的现有组策略功能以及一些新功能集成到一个统一的操纵台中。

GPMC 中内置了对多个域和林治理的支持，因此，治理员能够方便地治理整个企业中的组策略。

治理员能够完全操纵在GPMC 中列出哪些林和域，因而能够只显示环境的有关部分。

先决条件••••••安装和配置GPMC安装GPMC要安装组策略治理操纵台，请按照以下步骤操作：1. 在服务器“HQ-CON-DC-01”上，扫瞄到包含“gpmc.msi”的文件夹，双击“gpmc.msi”程序包，然后单击“下一步”。

2. 单击“我同意”，同意最终用户许可协议(EULA)，然后单击“下一步”。

3. 单击“完成”以完成GPMC 安装。

在安装完成后，更新Active Directory 治理单元中站点、域和组织单位(OU) 属性页上显示的“组策略”选项卡以提供到GPMC 的直截了当链接。

由于所有组策略治理功能差不多上通过GPMC 提供的，因此，无法再使用先前在原始“组策略”选项卡上提供的功能。

要打开GPMC 治理单元，请按照以下步骤操作：1. 在服务器“HQ-CON-DC-01”上，单击“开始”按钮，单击“运行”，键入“GPMC.msc”，然后单击“确定”。

注意：此外，也能够使用以下两种方法之一启动GPMC。

•在“开始”菜单或“操纵面板”中，单击“治理工具”文件夹中的“组策略治理”快捷方式。

•创建自定义的MMC 操纵台：单击“开始”按钮，单击“运行”，键入“MMC”，然后单击“确定”。

指向“文件”，单击“添加/删除治理单元”，然后单击“添加”。

单击以突出显示“组策略治理”，单击“添加”，单击“关闭”，然后单击“确定”。

为多个林配置GPMC您能够方便地将多个林添加到GPMC 操纵台树中。

默认情形下，只有在某个林与运行GPMC 的用户林之间具有双向信任关系时，才能将其添加到GPMC 中。

您能够有选择地承诺GPMC 使用仅单向信任关系或全然不使用信任关系。

通过突出显示树根名目中的“组策略治理”，从上下文菜单中选择“操作”，然后单击“添加林”，将另一个林添加到GPMC 中。

由于示例环境只包含单个林，因此，执行这些步骤超出了本逐步式指南的讨论范畴。

注意：在添加不受信任的林时，将无法使用某些功能。

例如，不能使用“组策略建模”，同时无法打开“组策略对象编辑器”以编辑不受信任的林中的GPO。

不受信任的林方案要紧用于支持跨林复制GPO。

同时治理多个域GPMC 支持同时治理多个域，同时每个域在操纵台中是按林进行分组的。

默认情形下，GPMC 中只显示一个域。

在第一使用预配置的治理单元(gpmc.msc) 或自定义MMC 操纵台启动GPMC 后，GPMC 将显示包含用于启动GPMC 的用户帐户的域。

通过添加和删除操纵台中显示的域，您能够指定每个林中要使用GPMC 治理的域。

注意：即使您没有整个林的林信任关系，您也可添加外部信任域。

默认情形下，要添加的域和用户对象域之间必须具有双向信任关系。

也能够通过使用“查看”菜单中的“选项”对话框禁用GPMC 的信任检测功能，来添加具有单向信任关系的域。

要添加外部信任域，您必须先使用“添加林”对话框，从包含外部信任域的林中添加一个域。

在添加该林后，您可通过右键单击该林的“域”节点，然后单击“显示域”，在该受信任的林中添加任何域。

1.2. 右键单击“域”，然后单击“显示域”。

3.图 1. 显示域在GPMC 的每个可用域中，可使用相同的域操纵器来完成该域中的所有操作。

这包括位于该域中的GPO、OU、安全主体以及WMI 选择器上的所有操作。

另外，在从GPMC 中打开“组策略对象编辑器”时，它始终将GPMC 中的目标域操纵器用于GPO 所在的域。

GPMC 承诺您为每个域选择使用哪个域操纵器。

您能够选择四个选项之一。

•使用主域操纵器(PDC) 模拟器（默认选项）。

•使用任何可用的域操纵器。

•使用运行Windows Server 2003 家族操作系统的任何可用域操纵器。

如果您要还原包含组策略软件安装设置的已删除GPO，该选项是专门有用的。

•使用指定的特定域操纵器。

1.2.3. 单击“确定”连续。

图 2. 更换域操纵器治理组策略对象查看域GPO在每个域中，GPMC 都提供了一个基于策略的Active Directory 视图以及与组策略关联的组件，如GPO、WMI 选择器以及GPO 链接。

GPM C 中的视图与“Active Directory 用户和运算机”MMC 治理单元中的视图类似，它们都显示OU 分层结构。

然而，GPMC 与该治理单元不同之处在于，它不显示OU 中的用户、运算机和组，而显示链接到每个容器的GP O 以及链接到这些GPO 本身的GPO。

GPMC 中的每个域节点都显示以下项目。

•链接到该域的所有GPO。

•所有顶级OU、嵌套OU 树状视图以及链接到每个OU 的GPO。

•显示域中所有GPO 的“组策略对象”容器。

•显示域中所有WMI 选择器的“WMI 选择器”容器。

要查看与特定容器关联的GPO，请按照以下步骤操作：1.要查看与特定域关联的所有GPO，请按照以下步骤操作：1.搜索GPO能够在林或域级不进行GPO 搜索。

通过使用单个或多个搜索参数，有助于在大量的GPO 中缩小搜索结果的范畴。

1.2. 在“搜索项”框中，选择“GPO 名称”，键入“Password”作为“值”，然后单击“添加”。

3. 在“搜索项”框中，选择“运算机配置”，选择“Security”作为“值”，然后单击“添加”。

4. 单击“搜索”。

结果应该如图4 所示。

图 4. 基于条件的GPO 搜索5. 在返回搜索结果后，您能够执行以下操作之一：•要打开GPO 进行编辑，请单击“编辑”。

•要储存搜索结果，请单击“储存结果”。

在“储存GPO 搜索结果”对话框中，指定储存结果的文件名称，然后单击“储存”。

•要扫瞄到在搜索中找到的某个GPO，请在搜索结果列表中双击该GPO。

•要清除搜索结果，请单击“清除”。

•要关闭“搜索组策略对象”对话框，请单击“关闭”。

确定GPO 的作用域只能通过正确地将GPO 应用于要治理的Active Directory 容器来实现组策略值。

确定哪些用户和运算机接收GPO 中的设置的过程称为“确定GPO 的作用域”。

确定GPO 作用域的过程基于三个因素。

•GPO 链接到的站点、域或OU 将GPO 中的设置应用于用户和运算机的要紧机制是，将GPO 链接到Active Directory 中的站点、域或OU。

链接GPO 的位置称为“治理作用域”或SOM（在前面的白皮书中也将其视为SDOU）。

SOM 共有三种类型：站点、域和OU。

可将一个GPO 链接到多个SOM，也能够将一个SOM 链接到多个GPO。

要应用某个GPO，您必须将其链接到SOM。

•GPO 上的安全选择默认情形下，位于链接了GPO 的SOM 及其子对象中的所有Authenticated Users（已授权用户）将应用GPO 中的设置。