項目十五:域和組策略配置
域英文叫——域()是網絡中獨立運行的單位����,域之間相互訪問則需要建立信任關系(即Trust )�。信任關系是連接在域與域之間的橋梁���。當一個域與其他域建立了信任關系后����,2個域之間不但可以按需要相互進行管理win7家庭版計算機管理沒有本地用戶和組�����,還可以跨網分配文件和打印機等設備資源,使不同的域之間實現網絡資源的共享與管理
域的功能和特點:
集中管理,可以集中地管理企業中成千上萬分布于異地的計算機和用戶
便捷的資源訪問,能夠很容易地定位到域中的資源����。 用戶依次登錄就可以訪問整個網絡資源��,集中地身份驗證
可擴展性,既可以適用于幾十臺計算機的小規模網絡,也可以用于跨國公司組策略在部分意義上是控制用戶可以或不能在計算機上做什么,例如:施行密碼復雜性策略避免用戶選擇過于簡單的密碼,允許或阻止身份不明的用戶從遠程計算機連接到網絡共享����,阻止訪問任務管理器或限制訪問特定文件夾�。這樣一套配置被稱為組策略對象(Group �����,GPO)�。
本地組策略(Local Group ����,縮寫LGP或)是組策略的基礎版本,它面向獨立且非域的計算機。至少 XP家庭版中它就已經存在�����,并且可以應用到域計算機�。在 Vista以前,LGP可以強制施行組策略對象到單臺本地計算機,但不能將策略應用到用戶或組。從 Vista開始,LGP允許本地組策略管理單個用戶和組���,并允許使用“GPO Packs”在獨立計算機之間備份、導入和導出組策略——組策略容器包含導入策略到目標計算機的所需文件。
組策略偏好
曾經有一批組策略設置擴展��,它被稱為��。微軟購買了并將其集成到 2008��。微軟之后發布了遷移工具���,允許用戶遷移設置項到組策略偏好����。
組策略偏好添加了許多新的配置項。這些偏好中有大量的目標選項����,可以用來精確控制要設置的應用程序��。
組策略偏好兼容x86和x64版本的 XP、 2003和 Vista加 Side (也稱CSE)��。
Side 現已集成到 2008���、 7和 2008 R2����。
組策略管理控制臺
在最初�,組策略是使用“組策略編輯”工具進行修改�,它與活動目錄用戶和計算機的微軟管理控制臺(MMC)插件集成�����,但后來它被分區成一個獨立的MMC插件�����,被稱為組策略管理控制臺。組策略管理控制臺現在是 2008和 2008 R2中的一個用戶組件��,并在 Vista和 7中作為一個“遠程服務器管理工具”可下載組件���。
高級組策略管理
微軟發布過一個稱之為“高級組策略管理”( Group )的工具來更改組策略��。此工具可供任何微軟桌面優化包授權的組織使用����。此高級工具允許管理員檢查/簽出組策略對象的更改��,跟蹤組策略對象的變更�,以及對組策略對象的更改實施審核工作流��。
AGPM工具由兩個部分組成——服務器和客戶端�����。服務器是一個服務,它在同一臺計算機或網絡共享上的存檔位置存儲其組策略對象�����?��?蛻舳耸墙M策略管理控制臺的一個插件����,并連接到AGPM服務器??蛻舳丝赏ㄟ^組策略配置�����。
安全
組策略設置是由目標應用程序自愿實施的。在許多情況下��,這只是禁止訪問特定功能的用戶接口���。
另外���,惡意用戶可以修改或干擾應用程序�����,使其不能成功讀取組策略設置win7家庭版計算機管理沒有本地用戶和組,從而實行更低或者默認的安全設置���。
8增強
8引入了被稱為“組策略更新”的一個新功能。此功能允許管理員強制在特定組織單位的所有計算機帳戶上更新一個組策略�����。這會在計算機上創建一個計劃任務��,在10分鐘內運行命令���,具體開始時間隨機調整�,以免域控制器過載�����。
“組策略基礎設施狀態”已被引入���,這可以報告任何“組策略對象”是否沒有正確復制域控制器�。
“組策略結果報告”也是一個新功能���,它會在執行“組策略更新”時執行���。
域
安裝域:開始 設置 控制面板 添加刪除程序然后單擊添加刪除組件
2選擇域名系統然后單擊確定一直下一步就可以完成安裝
3單擊 開始 運行 輸入
4回車就可以看到 安裝向導 單擊下一步
選擇第一臺新域控制器單擊下一步
5指定域名
數據庫和日志放在不同的磁盤控制器上�。
檢驗控制器的AD安裝是否正常
進入系統 單擊計算機名選項卡
安裝完成 檢測是否正常
