Window 2008 R2組策略之一——組策略管理控制台

     組策略管理在windows域管理中占有重要地位，本身也不是新的內容了。但微軟在Windows2008中終於集成了一個非常好用的組策略管理工具——組策略管理控制台。並且為原有的組策略添加了新的元素。本文從介紹組策略管理控制台入手，力求通過比較通俗的語言，為組策略新手開啟一扇進入Windows域高級管理的大門。由於本人水平所限，如有不妥之處，請方家不吝賜教。

     在08以前的Windows Server中要想配置組策略， 是件麻煩事。后來微軟推出了一個小工具——gpmc，才解決了問題，但這個工具需要下載和安裝，許多人不知道有這個工具的存在。在Windows 2008中，微軟將它集成了進來，大大方便了管理員對於組策略的管理和配置。首先，讓我們看看它的廬山真面目吧！點擊“開始”，導航到“管理工具”，選擇“Group Policy Management”命令，打開組策略管理控制台。（見圖一）

圖一

      正如各位所見，在此管理控制台的根節點，是一個叫做“beijing.cn”的森林根節點。展開后，可見如下幾個主要節點：域，默認情況下是與森林同名的域；組策略對象（Group Policy Objects——GPO），是存放所有組策略的節點，包括用戶創建的和默認域策略以及默認域控制器策略；Starter GPOS（初級使用者GPO），它衍生自一個GPO，並且具有將一組管理模板策略集成在一個對象中的能力（Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative Template policy settings in a single object.摘自：幫助文件）。這是Windows 2008中新增的功能，你可以把它理解為事先定制好的、針對不同使用環境的模板，對於不熟悉組策略配置的用戶只要拿過來用就好了。這會大大簡化簡單環境中組策略的配置，以及復雜環境組策略的部署，是一個非常實用的功能。再有就是“站點”節點和“組策略結果集”，我會在后續文章中詳細介紹。

圖二

      萬事皆是由簡入繁，讓我們從創建第一個GPO開始建立對於組策略的初步認識吧。

    導航到beijing.cn的域節點上點擊右鍵，在彈出的右鍵菜單中選擇“新建組織單位”，如圖三所示。不是在討論組策略嗎？怎么又創建組織單位了呢？這里有個概念，需要牢記：GPO只能鏈接到容器上，所以我們首先要創建一個用於實驗的OU——market。

圖三

 

  圖四

     接下來，在剛剛創建的OU上點擊右鍵，從菜單中選擇“在此域中創建GPO並鏈接於此”命令。在彈出的對話框中，為你的GPO起一個有意義的名字，比如：GPO_market，在此處就可以選擇你系統上已經存在的或是導入的STARTER GPO，我們此時不選，單獨創建一個用於market這個OU的GPO。如圖五、圖六。

 

 

圖五

                                                                        圖六

創建了GPO后，我們發現在OU節點下有一個到該對象的鏈接，而真正的GPO是在“組策略對象”節點下的。（如圖七）

圖七

     好，相信大家都看懂了如何利用組策略管理控制台工具為一個容器創建並鏈接一個GPO。那么，接下來我們要去配置這個GPO並驗證效果，以便大家對於組策略對象的配置和應用有一個感性的認識。首先，讓我們打開管理工具中的“AD的用戶和計算機”管理控制台，在新建的market中創建一個叫'Eric’的用戶，等一下我們要用這個用戶驗證組策略的配置。（如圖八）

圖八

    下面，我們返回到“組策略管理控制台”，導航到剛剛創建並已經鏈接到market OU上的GPO上點擊右鍵，在彈出菜單上選擇“編輯”命令，打開“組策略編輯器”。（如圖九、圖十）

圖九

  

                                                                                                                                    圖十

      在組策略編輯器中，有兩個節點——計算機配置和用戶配置。無論你在編輯的是哪一個GPO，都有且只有這兩個節點。這兩個節點中的配置項分別針對域中的計算機和用戶生效。鑒於本文的目標是向大家介紹“組策略管理控制台”的使用和組策略的初步入門，所以筆者將利用組策略編輯器編輯一條有關用戶配置的組策略，然后去驗證它是否生效。展開“用戶配置”節點下的子節點“策略”，並導航到“Windows設置——Internet Explorer維護——瀏覽器用戶界面”，並雙擊位於右邊的“瀏覽器標題”項目，對它進行設置。這個配置在企業中比較常見，現在的企業都比較講究對外對內的形象，統一用戶界面是常用的一種方法。編輯好選項后，點擊“確定”退出編輯。（如圖十一、十二）

圖十

圖十一

      接着，我們打開cmd窗口，鍵入如圖命令來強制策略的更新，以便可以立刻驗證。（如圖十二）

      策略配置好以后，我們啟動一台win7客戶端來驗證。首先要保證win7客戶端已經加入域，其次要用我們剛剛創建的Eric賬號登錄。（如圖十三）

圖十三

      登錄后，我們打開IE瀏覽器，將看到在IE的標題欄中顯示出了在策略中設置的字符串，說明策略對Eric生效了。（如圖十四）

圖十四

    為了確認，我們再用administrator登錄， 比較一下二者的差別。（如圖十五、十六）

 

                               圖十五                                                                                              圖十六

      好，至此我們認識了“組策略管理控制台”，並且使用它創建了OU，鏈接了GPO，配置了一條組策略，並驗證了結果。相信大家對這個工具已經有了初步認識。文中有任何錯誤和不當之處，歡迎大家指正。

本文出自 “中國極道” 博客，請務必保留此出處http://loveunicom.blog.51cto.com/121558/345188