windows 2003將組策略應(yīng)用于域的方法

　　組策略(Group Policy)是管理員為用戶和計算機定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計算機和用戶策略。 組策略包含了“計算機配置 | Windows 設(shè)置 | 安全設(shè)置”下的安全設(shè)置。您可將預(yù)先配置的安全模板導(dǎo)入策略，來完成對這些設(shè)置的配置。

　　應(yīng)用組策略

　　下列步驟顯示了如何應(yīng)用組策略，以及如何向“用戶權(quán)限分配”添加安全組。

　　• 將組策略應(yīng)用于組織單位或域

　　1.依次單擊“開始”、“管理工具”、“Active Directory 用戶和計算機”，打開“Active Directory 用戶和計算機”。

　　2.突出顯示相關(guān)域或組織單位，單擊“操作”菜單，選擇“屬性”。

　　3.選擇“組策略”選項卡。

　　注意：每個容器可應(yīng)用多個策略。這些策略的處理順序是從列表的底部向上。如果出現(xiàn)沖突，最后應(yīng)用的策略優(yōu)先。

　　4.單擊“新建”創(chuàng)建一個策略，并為其指定有實際意義的名稱，如“域策略”。

　　注意：單擊“選項”按鈕可配置“禁止替代”設(shè)置。“禁止替代”是為每個單獨的策略配置的，而不是為整個容器;“阻止策略繼承”則是為整個容器配置的。如果“禁止替代”和“阻止策略繼承”設(shè)置發(fā)生沖突，“禁止替代”設(shè)置優(yōu)先。要配置“阻止策略繼承”，請選中 OU 屬性中的復(fù)選框。

　　組策略可自動更新，但為了立即啟動更新過程，可在命令提示符下使用下面的 GPUpdate 命令：

　　GPUpdate /force

　　向“用戶權(quán)限分配”添加安全組

　　1.依次單擊“開始”、“管理工具”、“Active Directory 用戶和計算機”，打開“Active Directory 用戶和計算機”。

　　2.突出顯示相關(guān) OU(如“成員服務(wù)器”)，單擊“操作”菜單，選擇“屬性”。

　　3.單擊“組策略”選項卡，選擇相關(guān)策略(如“成員服務(wù)器基準策略”)，然后單擊“編輯”。

　　4.在“組策略對象編輯器”中，依次展開“計算機配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”，然后突出顯示“用戶權(quán)限分配”。

　　5.在右側(cè)窗格中，右鍵單擊相關(guān)用戶權(quán)限。

　　6.選中“定義這些策略設(shè)置”復(fù)選框，單擊“添加用戶和組”修改該列表。

　　7.單擊“確定”。

　　將安全模板導(dǎo)入組策略

　　下列步驟顯示了如何向組策略導(dǎo)入安全模板。

　　• 導(dǎo)入安全模板

　　1.依次單擊“開始”、“管理工具”、“Active Directory 用戶和計算機”，打開“Active Directory 用戶和計算機”。

　　2.突出顯示相關(guān)域或 OU，單擊“操作”菜單，選擇“屬性”。

　　3.選擇“組策略”選項卡。

　　4.突出顯示相關(guān)策略，單擊“編輯”。

　　5.依次展開“計算機配置”、“Windows 設(shè)置”，然后突出顯示“安全設(shè)置”。

　　6.單擊“操作”菜單，選擇“導(dǎo)入策略”。

　　7.導(dǎo)航到 \Security Guide\Job Aids，選擇相關(guān)模板，單擊“打開”。

　　8.在“組策略對象編輯器”中，單擊“文件”菜單，選擇“退出”。

　　9.在容器屬性中，單擊“確定”。

　　使用“安全配置和分析”

　　下列步驟顯示了如何使用“安全配置和分析”來導(dǎo)入、分析和應(yīng)用安全模板。

　　• 導(dǎo)入安全模板

　　1.依次單擊“開始”、“運行”。在“打開”文本框中鍵入 mmc，然后單擊“確定”。

　　2.在 Microsoft 管理控制臺中，單擊“文件”，選擇“添加/刪除管理單元”。

　　3.單擊“添加”，突出顯示列表中的“安全配置和分析”。

　　4.依次單擊“添加”、“關(guān)閉”、“確定”。

　　5.突出顯示“安全配置和分析”，單擊“操作”菜單，選擇“打開數(shù)據(jù)庫”。

　　6.鍵入新的數(shù)據(jù)庫名稱(如 Bastion Host)，單擊“打開”。

　　7.在“導(dǎo)入模板”界面中，導(dǎo)航到 \Security Guide\Job Aids，選擇相關(guān)模板。單擊“打開”。

　　• 分析導(dǎo)入的模板并與當(dāng)前設(shè)置比較

　　1.突出顯示 Microsoft 管理單元中的“安全配置和分析”，單擊“操作”菜單，并選擇“立即分析計算機”。

　　2.單擊“確定”，接受默認的“錯誤日志文件路徑”。

　　3.完成分析后，展開節(jié)點標(biāo)題對結(jié)果進行研究。

　　• 應(yīng)用安全模板

　　1.突出顯示 Microsoft 管理單元中的“安全配置和分析”，單擊“操作”菜單，選擇“立即配置計算機”。

　　2.單擊“確定”，接受默認的“錯誤日志文件路徑”。

　　3.在 Microsoft 管理控制臺，單擊“文件”，然后選擇“退出”關(guān)閉“安全配置和分析”。