Window 2008 R2組策略之一——組策略管理控制檯

      組策略管理在windows域管理中佔有重要地位，自己也不是新的內容了。但微軟在Windows2008中終於集成了一個很是好用的組策略管理工具——組策略管理控制檯。而且爲原有的組策略添加了新的元素。本文從介紹組策略管理控制檯入手，力求經過比較通俗的語言，爲組策略新手開啓一扇進入Windows域高級管理的大門。因爲本人水平所限，若有不妥之處，請方家不吝賜教。

     在08之前的Windows Server中要想配置組策略， 是件麻煩事。後來微軟推出了一個小工具——gpmc，才解決了問題，但這個工具須要下載和安裝，許多人不知道有這個工具的存在。在Windows 2008中，微軟將它集成了進來，大大方便了管理員對於組策略的管理和配置。首先，讓咱們看看它的廬山真面目吧！點擊「開始」，導航到「管理工具」，選擇「Group Policy Management」命令，打開組策略管理控制檯。（見圖一）

圖一

      正如各位所見，在此管理控制檯的根節點，是一個叫作「beijing.cn」的森林根節點。展開後，可見以下幾個主要節點：域，默認狀況下是與森林同名的域；組策略對象（Group Policy Objects——GPO），是存放全部組策略的節點，包括用戶建立的和默認域策略以及默認域控制器策略；Starter GPOS（初級使用者GPO），它衍生自一個GPO，而且具備將一組管理模板策略集成在一個對象中的能力（Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative Template policy settings in a single object.摘自：幫助文件）。這是Windows 2008中新增的功能，你能夠把它理解爲事先定製好的、針對不一樣使用環境的模板，對於不熟悉組策略配置的用戶只要拿過來用就行了。這會大大簡化簡單環境中組策略的配置，以及複雜環境組策略的部署，是一個很是實用的功能。再有就是「站點」節點和「組策略結果集」，我會在後續文章中詳細介紹。

圖二

      萬事皆是由簡入繁，讓咱們從建立第一個GPO開始創建對於組策略的初步認識吧。

    導航到beijing.cn的域節點上點擊右鍵，在彈出的右鍵菜單中選擇「新建組織單位」，如圖三所示。不是在討論組策略嗎？怎麼又建立組織單位了呢？這裏有個概念，須要牢記：GPO只能連接到容器上，因此咱們首先要建立一個用於實驗的OU——market。

圖三

 

  圖四

     接下來，在剛剛建立的OU上點擊右鍵，從菜單中選擇「在此域中建立GPO並連接於此」命令。在彈出的對話框中，爲你的GPO起一個有意義的名字，好比：GPO_market，在此處就能夠選擇你係統上已經存在的或是導入的STARTER GPO，咱們此時不選，單首創建一個用於market這個OU的GPO。如圖5、圖六。

 

 

圖五

                                                                        圖六

建立了GPO後，咱們發如今OU節點下有一個到該對象的連接，而真正的GPO是在「組策略對象」節點下的。（如圖七）

圖七

     好，相信你們都看懂了如何利用組策略管理控制檯工具爲一個容器建立並連接一個GPO。那麼，接下來咱們要去配置這個GPO並驗證效果，以便你們對於組策略對象的配置和應用有一個感性的認識。首先，讓咱們打開管理工具中的「AD的用戶和計算機」管理控制檯，在新建的market中建立一個叫'Eric’的用戶，等一下咱們要用這個用戶驗證組策略的配置。（如圖八）

圖八

    下面，咱們返回到「組策略管理控制檯」，導航到剛剛建立並已經連接到market OU上的GPO上點擊右鍵，在彈出菜單上選擇「編輯」命令，打開「組策略編輯器」。（如圖9、圖十）

圖九

 

                                                                                                                                    圖十

      在組策略編輯器中，有兩個節點——計算機配置和用戶配置。不管你在編輯的是哪個GPO，都有且只有這兩個節點。這兩個節點中的配置項分別針對域中的計算機和用戶生效。鑑於本文的目標是向你們介紹「組策略管理控制檯」的使用和組策略的初步入門，因此筆者將利用組策略編輯器編輯一條有關用戶配置的組策略，而後去驗證它是否生效。展開「用戶配置」節點下的子節點「策略」，並導航到「Windows設置——Internet Explorer維護——瀏覽器用戶界面」，並雙擊位於右邊的「瀏覽器標題」項目，對它進行設置。這個配置在企業中比較常見，如今的企業都比較講究對外對內的形象，統一用戶界面是經常使用的一種方法。編輯好選項後，點擊「肯定」退出編輯。（如圖11、十二）

圖十

圖十一

      接着，咱們打開cmd窗口，鍵入如圖命令來強制策略的更新，以即可以馬上驗證。（如圖十二）

      策略配置好之後，咱們啓動一臺win7客戶端來驗證。首先要保證win7客戶端已經加入域，其次要用咱們剛剛建立的Eric帳號登陸。（如圖十三）

圖十三

      登陸後，咱們打開IE瀏覽器，將看到在IE的標題欄中顯示出了在策略中設置的字符串，說明策略對Eric生效了。（如圖十四）

圖十四

    爲了確認，咱們再用administrator登陸， 比較一下兩者的差異。（如圖十5、十六）

                               圖十五                                                                                              圖十六

      好，至此咱們認識了「組策略管理控制檯」，而且使用它建立了OU，連接了GPO，配置了一條組策略，並驗證告終果。相信你們對這個工具已經有了初步認識。文中有任何錯誤和不當之處，歡迎你們指正。