发布时间 : 星期三 文章Windows - Server - 2008组策略详解更新完毕开始阅读c125e12225c52cc58bd6bea6
禁用 GPO 中的用户配置或计算机配置设置
1. 在 GPMC 控制台树中,展开包含要禁用的策略设置的 GPO 所在的林和域中的“组策略对象”。
2. 右键单击包含要禁用的策略设置的 GPO。
3. 在“GPO 状态”列表中,选择以下选项之一:
o 已禁用所有策略设置
o o o
已禁用计算机配置设置 已启用(默认设置) 已禁用用户配置设置
站点链接的 GPO 的特殊注意事项
链接到站点的 GPO 可能适合用来为代理设置、打印机和网络相关设置设置策略。链接到站点容器的任何 GPO 将应用于该站点中的所有计算机,而无论该计算机属于林中的哪个域。此行为具有以下含义:
? ?
确保计算机不要通过 WAN 链接访问站点 GPO,这会产生严重的性能问题。
默认情况下,要管理站点 GPO,您需要是 Enterprise Admins 组的成员或林根域中的 Domain Admins 组的成员。
与相同站点中的域控制器之间的 Active Directory 复制相比,不同站点中的域控制器之间的复制发生的频率较小,并且仅在预定时间进行。站点之间的 FRS 复制不是由站点链接复制计划决定的;这不是站点内的问题。
目录服务复制计划和频率是连接站点的站点链接的属性。默认站点间复制频率为三小时。若要更改此频率,请使用下列步骤。 更改站点间复制频率
1. 打开“Active Directory 站点和服务”。
2. 在控制台树中,依次展开“站点”、“站点间的传输”和“IP”,然后单击某个站点间传输文件夹,其中包含要配置站点间复制的站点链接。
3. 在细节窗格中,右键单击要配置站点间复制频率的站点链接,然后单击“属性”。 4. 在“常规”选项卡的“复制频率”中,键入或选择复制间隔的分钟数。 5. 单击“确定”。
?
更改复制频率或计划可能会显著影响组策略。例如,假定将复制频率设置为三小时或更长的时间,创建一个 GPO 并将其链接到跨几个站点的域中的 OU。您可能需要等待几小时,该 OU 中的所有用户才能收到 GPO。
如果 OU 中的大多数用户位于远程位置,并且该站点中有一个域控制器,则可以在该站点的域控制器上执行所有组策略操作以解决站点间复制延迟问题。
使用环回处理来配置用户策略设置
“用户组策略环回处理模式”策略设置是一个高级选项,旨在使计算机配置对任何登录用户都保持不变。此策略设置适用于某些包含特殊用途计算机的严密管理的环境,如教室、公共信息亭和招待所。例如,您可能需要为特定服务器(如终端服务器)启用此策略设置。通过启用环回处理模式策略设置,可以指示系统为登录到计算机上的任何用户应用基于计算机的相同用户策略设置。 如果将 GPO 应用于用户,当这些用户登录到任何计算机时,通常会将一组相同的用户策略设置应用于这些用户。通过在 GPO 中启用环回处理策略设置,您可以配置基于用户登录到的计算机的用
户策略设置。无论哪个用户登录,都会应用这些策略设置。在启用环回处理模式策略设置时,您必须确保同时启用 GPO 中的计算机配置和用户配置设置。
可通过使用 GPMC 编辑 GPO 并在“计算机配置\\策略\\管理模板\\系统\\组策略”下面启用“用户组策略环回处理模式”策略设置来配置环回策略设置。可以使用以下两个选项:
?
合并模式:在该模式下,将在登录过程中收集用户的 GPO 列表,然后收集计算机的 GPO 列表。接下来,将计算机的 GPO 列表添加到用户的 GPO 末尾。因此,计算机的 GPO 优先级比用户的 GPO 高。如果策略设置发生冲突,将应用计算机 GPO 中的用户策略设置,而不是用户的正常策略设置。
替换模式:在该模式下,不收集用户的 GPO 列表。相反,仅使用基于计算机对象的 GPO 列表,并将该列表中的用户配置设置应用于用户。
?
委派组策略管理
您的组策略设计可能要求委派某些组策略管理任务。确定组策略管理控制的集中或分散程度是评估组织需求的最重要因素之一。在使用集中管理模型的组织中,IT 组为整个公司提供服务、做出决策和制订标准。在使用分散管理模型的组织中,每个业务部门管理其自己的 IT 组。 您可以委派以下组策略任务:
? ?
管理各个 GPO(例如,授予 GPO 的编辑或读取访问权限) 在站点、域和 OU 上执行以下组策略任务:
o o o
管理给定站点、域或 OU 的组策略链接
为该容器中的对象执行组策略建模分析(不适用于站点) 为该容器中的对象读取组策略结果数据(不适用于站点)
? ? ?
创建 GPO 创建 WMI 筛选器
管理和编辑各个 WMI 筛选器
根据组织的管理模型,您需要确定最适于在站点、域和 OU 级别处理的配置管理内容。您还需要确定如何在每个站点、域和 OU 级别的管理员或管理组之间进一步细分该级别的责任。 在确定是否在站点、域或 OU 级别委派权限时,请记住以下注意事项:
? ?
如果将权限设置为继承到所有子容器,在域级别委派的权限将影响域中的所有对象。 在 OU 级别委派的权限可能仅影响该 OU,也可能会影响该 OU 及其子 OU。
? ?
如果在可能的最高 OU 级别分配控制,则可以更轻松、更有效地管理权限。
在站点级别委派的权限可能会跨域,并且可能会影响 GPO 所在的域以外的域中的对象。
以下几节介绍了如何使用 GPMC 执行这些委派任务。
委派单个 GPO 的管理
通过使用 GPMC,您可以轻松将 GPO 权限授予其他用户。GPMC 在任务级别管理权限。GPO 有五个允许的权限级别:读取、编辑、编辑/删除/修改安全性、读取(从安全筛选)和自定义。这些权限级别对应于一组固定的低级别权限。表 3 说明了每个选项的相应低级别权限。
表 3 GPO 权限选项和低级别权限
GPO 权限选项 读取
允许读取访问 GPO。
低级别权限
读取(从安全筛无法直接设置该设置,但如果用户具有 GPO 的“读取”和“应用组策略”权限,选) 则会显示此设置;它是使用 GPO 的“作用域”选项卡上的安全筛选设置的。 编辑设置
允许读取、写入、创建以及删除子对象。
编辑设置,删除、允许读取、写入、创建以及删除子对象;删除、修改权限以及修改所有者。除了修改安全性 未设置“应用组策略”权限以外,这会授予对 GPO 的完全控制权。 自定义
任何其他权限组合(如拒绝权限)将显示为自定义权限。无法通过单击“添加”
来设置自定义权限。只能通过单击“高级”并直接修改权限来设置这些权限。
若要为用户或组授予 GPO 权限,请使用以下步骤。 为用户或组授予 GPO 权限
1. 在 GPMC 控制台树中,展开包含要编辑的 GPO 的林和域中的“组策略对象”。 2. 单击要授予权限的 GPO。
3. 在细节窗格中,单击“委派”选项卡。 4. 单击“添加”。
5. 在“选择用户、计算机或组”对话框中,指定要授予权限的用户或组,然后单击“确定”。 6. 在“添加组或用户”对话框的“权限”下面,单击要为用户或组授予的权限级别,然后单击“确定”。 请注意,无法使用“委派”选项卡设置“应用组策略”权限(用于安全筛选)。由于“应用组策略”权限用于设置 GPO 的作用域,因此,该权限是在 GPMC 中的 GPO“作用域”选项卡上进行管理的。若要为用户或组授予 GPO 的“应用组策略”权限,请在相关 GPO 的“作用域”选项卡上单击“添加”,然后指定该用户或组。该用户或组的名称将显示在“安全筛选”列表中。在“作用域”选项卡上为用户授予“安全筛选”权限时,您实际设置了“读取”和“应用组策略”权限。