Active Directory 環(huán)境中使用組策略管理控制臺(tái) (GPMC)

1、.：.；關(guān)于組戰(zhàn)略管理控制臺(tái)運(yùn)用的逐漸式指南該逐漸式指南提供了在 Active Directory 環(huán)境中運(yùn)用組戰(zhàn)略管理控制臺(tái) (GPMC) 來(lái)支持組戰(zhàn)略對(duì)象 (GPO) 的普通性指點(diǎn)。該指南并不提供 GPO 實(shí)施指點(diǎn)。本頁(yè)內(nèi)容 簡(jiǎn)介 概述 安裝和配置GPMC管理組戰(zhàn)略對(duì)象GPO 備份、復(fù)原、復(fù)制以及導(dǎo)入 GPO 建模簡(jiǎn)介逐漸式指南Windows Server 2003 部署逐漸式指南提供了很多常見(jiàn)操作系統(tǒng)配置的實(shí)踐操作閱歷。本指南首先引見(jiàn)經(jīng)過(guò)以下過(guò)程來(lái)建立通用網(wǎng)絡(luò)構(gòu)造：安裝 Windows Server 2003；配置 Active Directory；安裝 Windows XP Profe

2、ssional 任務(wù)站并最后將此任務(wù)站添加到域中。后續(xù)逐漸式指南假定您已建立了此通用網(wǎng)絡(luò)構(gòu)造。假設(shè)您不想遵照此通用網(wǎng)絡(luò)構(gòu)造，那么需求在運(yùn)用這些指南時(shí)進(jìn)展適當(dāng)?shù)男拚?。通用網(wǎng)絡(luò)構(gòu)造要求完成以下指南。 HYPERLINK microsoft/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/domcntrl.mspx 第一部分：將 Windows Server 2003 安裝為域控制器 HYPERLINK microsoft/china/technet/prodt

3、echnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/domxppro.mspx 第二部分：安裝 Windows XP Professional 任務(wù)站并將其銜接到域上在配置通用網(wǎng)絡(luò)構(gòu)造后，可以運(yùn)用任何其他的逐漸式指南。留意，某些逐漸式指南除具備通用網(wǎng)絡(luò)構(gòu)造要求外，能夠還需求滿足額外的先決條件。任何額外的要求都將列在特定的逐漸式指南中。Microsoft Virtual PC可以在物理實(shí)驗(yàn)室環(huán)境中或經(jīng)過(guò)虛擬化技術(shù)如 Microsoft Virtual PC 2004 或 Microsoft Virt

4、ual Server 2005來(lái)實(shí)施 Windows Server 2003 部署逐漸式指南。借助于虛擬機(jī)技術(shù)，客戶可以同時(shí)在一臺(tái)物理效力器上運(yùn)轉(zhuǎn)多個(gè)操作系統(tǒng)。Virtual PC 2004 和 Virtual Server 2005 就是為了在軟件測(cè)試和開(kāi)發(fā)、舊版運(yùn)用程序遷移以及效力器整合方案中提高任務(wù)效率而設(shè)計(jì)的。Windows Server 2003 部署逐漸式指南假定一切配置都是在物理實(shí)驗(yàn)室環(huán)境中完成的，但大多數(shù)配置不經(jīng)修正就可以運(yùn)用于虛擬環(huán)境。將這些逐漸式指南中提供的概念運(yùn)用于虛擬環(huán)境超出了本文的討論范圍。重要闡明此處作為例子提到的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、個(gè)人、地

5、點(diǎn)和事件純屬虛擬，決不意指，也不應(yīng)由此臆測(cè)任何公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、個(gè)人、地點(diǎn)或事件。此通用根底構(gòu)造是為在公用網(wǎng)絡(luò)上運(yùn)用而設(shè)計(jì)的。此通用構(gòu)造中運(yùn)用的虛擬公司稱號(hào)和域名系統(tǒng) (DNS) 稱號(hào)并未注冊(cè)以便在 Internet 上運(yùn)用。您不應(yīng)在公共網(wǎng)絡(luò)或 Internet 上運(yùn)用此稱號(hào)。此通用構(gòu)造的 Active Directory 效力構(gòu)造用于闡明“Windows Server 2003 更改和配置管理如何與 Active Directory 配合運(yùn)用。不能將其作為任何組織進(jìn)展 Active Directory 配置的模型。概述Microsoft 組戰(zhàn)略管理控制臺(tái) (GPMC

6、) 是一個(gè)用于組戰(zhàn)略管理的新工具，它經(jīng)過(guò)改良易管理性和提高效率協(xié)助 管理員更經(jīng)濟(jì)有效地管理企業(yè)。它包含一個(gè)新的 Microsoft 管理控制臺(tái) (MMC) 管理單元和一組可編程接口。GPMC 提供單一位置來(lái)管理組戰(zhàn)略中心內(nèi)容，從而簡(jiǎn)化了組戰(zhàn)略的管理。它可以根據(jù)用戶需求提供以下功能來(lái)滿足最高的組戰(zhàn)略部署要求。使組戰(zhàn)略更易于運(yùn)用的用戶界面 (UI)。組戰(zhàn)略對(duì)象 (GPO) 備份/復(fù)原。GPO 導(dǎo)入/導(dǎo)出和復(fù)制/粘貼以及 Windows Management Instrumentation (WMI) 挑選器。簡(jiǎn)化了對(duì)組戰(zhàn)略相關(guān)平安功能的管理。GPO 設(shè)置和戰(zhàn)略的結(jié)果集 (RSoP) 數(shù)據(jù)的超文本標(biāo)

7、志言語(yǔ) (HTML) 報(bào)告。將此工具中提供的戰(zhàn)略相關(guān)義務(wù)編制成腳本而不是將 GPO 設(shè)置編制成腳本。過(guò)去，管理員需求運(yùn)用幾個(gè) Microsoft 工具來(lái)管理組戰(zhàn)略，如“Active Directory 用戶和計(jì)算機(jī)、“Active Directory 站點(diǎn)和效力以及“戰(zhàn)略的結(jié)果集管理單元。GPMC 將這些工具中提供的現(xiàn)有組戰(zhàn)略功能以及一些新功能集成到一個(gè)一致的控制臺(tái)中。GPMC 中內(nèi)置了對(duì)多個(gè)域和林管理的支持，因此，管理員可以方便地管理整個(gè)企業(yè)中的組戰(zhàn)略。管理員可以完全控制在 GPMC 中列出哪些林和域，因此可以只顯示環(huán)境的相關(guān)部分。留意：該逐漸式指南只提供運(yùn)用 GPMC 來(lái)管理 GPO 的指

8、點(diǎn)，并不提供有關(guān)其配置的指點(diǎn)。有關(guān)配置 GPO 的信息，請(qǐng)參見(jiàn) HYPERLINK microsoft/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx 了解組戰(zhàn)略功能集的逐漸式指南。先決條件 HYPERLINK microsoft/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/domcntrl

9、.mspx 第一部分：將 Windows Server 2003 安裝為域控制器 HYPERLINK microsoft/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/addomcon.mspx 安裝其他域控制器的逐漸式指南 HYPERLINK microsoft/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/ad

10、mng.mspx Active Directory 管理逐漸式指南 HYPERLINK microsoft/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/ctrlwiz.mspx 關(guān)于控制委派導(dǎo)游運(yùn)用方法的逐漸式指南 HYPERLINK microsoft/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat

11、.mspx 了解組戰(zhàn)略功能集的逐漸式指南 HYPERLINK microsoft/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx 強(qiáng)迫實(shí)施強(qiáng)密碼戰(zhàn)略的逐漸式指南安裝和配置 GPMC安裝 GPMCGPMC 安裝是一個(gè)涉及運(yùn)轉(zhuǎn) Windows Installer (.MSI) 程序包的簡(jiǎn)單過(guò)程。要下載最新版本，請(qǐng)參見(jiàn) Windows Server System 組戰(zhàn)略管理站點(diǎn)，網(wǎng)址為： HYPERLINK microsoft/wind

12、owsserver2003/gpmc/default.mspx microsoft/windowsserver2003/gpmc/default.mspx。要安裝組戰(zhàn)略管理控制臺(tái)，請(qǐng)按照以下步驟操作：1.在效力器“HQ-CON-DC-01上，閱讀到包含“gpmc.msi的文件夾，雙擊“gpmc.msi程序包，然后單擊“下一步。2.單擊“我贊同，接受最終用戶答應(yīng)協(xié)議 (EULA)，然后單擊“下一步。3.單擊“完成以完成 GPMC 安裝。在安裝完成后，更新 Active Directory 管理單元中站點(diǎn)、域和組織單位 (OU) 屬性頁(yè)上顯示的“組戰(zhàn)略選項(xiàng)卡以提供到 GPMC 的直接鏈接。由于一切

13、組戰(zhàn)略管理功能都是經(jīng)過(guò) GPMC 提供的，因此，無(wú)法再運(yùn)用先前在原始“組戰(zhàn)略選項(xiàng)卡上提供的功能。要翻開(kāi) GPMC 管理單元，請(qǐng)按照以下步驟操作：1.在效力器“HQ-CON-DC-01上，單擊“開(kāi)場(chǎng)按鈕，單擊“運(yùn)轉(zhuǎn)，鍵入“GPMC.msc，然后單擊“確定。留意：此外，也可以運(yùn)用以下兩種方法之一啟動(dòng) GPMC。在“開(kāi)場(chǎng)菜單或“控制面板中，單擊“管理工具文件夾中的“組戰(zhàn)略管理快捷方式。創(chuàng)建自定義的 MMC 控制臺(tái)：?jiǎn)螕簟伴_(kāi)場(chǎng)按鈕，單擊“運(yùn)轉(zhuǎn)，鍵入“MMC，然后單擊“確定。指向“文件，單擊“添加/刪除管理單元，然后單擊“添加。單擊以突出顯示“組戰(zhàn)略管理，單擊“添加，單擊“封鎖，然后單擊“確定。為多個(gè)林

14、配置 GPMC您可以方便地將多個(gè)林添加到 GPMC 控制臺(tái)樹(shù)中。默許情況下，只需在某個(gè)林與運(yùn)轉(zhuǎn) GPMC 的用戶林之間具有雙向信任關(guān)系時(shí)，才干將其添加到 GPMC 中。您可以有選擇地允許 GPMC 運(yùn)用僅單向信任關(guān)系或根本不運(yùn)用信任關(guān)系。經(jīng)過(guò)突出顯示樹(shù)根目錄中的“組戰(zhàn)略管理，從上下文菜單中選擇“操作，然后單擊“添加林，將另一個(gè)林添加到 GPMC 中。由于例如環(huán)境只包含單個(gè)林，因此，執(zhí)行這些步驟超出了本逐漸式指南的討論范圍。留意：在添加不受信任的林時(shí)，將無(wú)法運(yùn)用某些功能。例如，不能運(yùn)用“組戰(zhàn)略建模，并且無(wú)法翻開(kāi)“組戰(zhàn)略對(duì)象編輯器以編輯不受信任的林中的 GPO。不受信任的林方案主要用于支持跨林復(fù)制

15、 GPO。同時(shí)管理多個(gè)域GPMC 支持同時(shí)管理多個(gè)域，并且每個(gè)域在控制臺(tái)中是按林進(jìn)展分組的。默許情況下，GPMC 中只顯示一個(gè)域。在首先運(yùn)用預(yù)配置的管理單元 (gpmc.msc) 或自定義 MMC 控制臺(tái)啟動(dòng) GPMC 后，GPMC 將顯示包含用于啟動(dòng) GPMC 的用戶帳戶的域。經(jīng)過(guò)添加和刪除控制臺(tái)中顯示的域，您可以指定每個(gè)林中要運(yùn)用 GPMC 管理的域。留意：即使您沒(méi)有整個(gè)林的林信任關(guān)系，您也可添加外部信任域。默許情況下，要添加的域和用戶對(duì)象域之間必需具有雙向信任關(guān)系。也可以經(jīng)過(guò)運(yùn)用“查看菜單中的“選項(xiàng)對(duì)話框禁用 GPMC 的信任檢測(cè)功能，來(lái)添加具有單向信任關(guān)系的域。要添加外部信任域，您必需

16、先運(yùn)用“添加林對(duì)話框，從包含外部信任域的林中添加一個(gè)域。在添加該林后，您可經(jīng)過(guò)右鍵單擊該林的“域節(jié)點(diǎn)，然后單擊“顯示域，在該受信任的林中添加任何域。要將 vancouver.contoso 子域添加到控制臺(tái)中，請(qǐng)按照以下步驟操作：1.在“組戰(zhàn)略管理窗口中，單擊“林:contoso旁邊的加號(hào) (+) 將樹(shù)展開(kāi)，然后單擊“域旁邊的加號(hào) (+)。2.右鍵單擊“域，然后單擊“顯示域。3.選擇“vancouver.contoso旁邊的復(fù)選框如圖 1 所示，然后單擊“確定。圖 1. 顯示域在 GPMC 的每個(gè)可用域中，可運(yùn)用一樣的域控制器來(lái)完成該域中的一切操作。這包括位于該域中的 GPO、OU、平安主體以

17、及 WMI 挑選器上的一切操作。另外，在從 GPMC 中翻開(kāi)“組戰(zhàn)略對(duì)象編輯器時(shí)，它一直將 GPMC 中的目的域控制器用于 GPO 所在的域。GPMC 允許您為每個(gè)域選擇運(yùn)用哪個(gè)域控制器。您可以選擇四個(gè)選項(xiàng)之一。運(yùn)用主域控制器 (PDC) 模擬器默許選項(xiàng)。運(yùn)用任何可用的域控制器。運(yùn)用運(yùn)轉(zhuǎn) Windows Server 2003 家族操作系統(tǒng)的任何可用域控制器。假設(shè)您要復(fù)原包含組戰(zhàn)略軟件安裝設(shè)置的已刪除 GPO，該選項(xiàng)是非常有用的。運(yùn)用指定的特定域控制器。要更改 GPMC 用于 vancouver.contoso 域的域控制器，請(qǐng)按照以下步驟操作：1.在“組戰(zhàn)略管理窗口的“域文件夾下面，右鍵單擊

18、“vancouver.contoso，然后單擊“更改域控制器。2.在“更改域控制器對(duì)話框中，單擊“此域控制器，然后單擊以突出顯示“hq-con-dc-03.vancouver.contoso如圖 2 所示。3.單擊“確定繼續(xù)。圖 2. 更改域控制器管理組戰(zhàn)略對(duì)象查看域 GPO在每個(gè)域中，GPMC 都提供了一個(gè)基于戰(zhàn)略的 Active Directory 視圖以及與組戰(zhàn)略關(guān)聯(lián)的組件，如 GPO、WMI 挑選器以及 GPO 鏈接。GPMC 中的視圖與“Active Directory 用戶和計(jì)算機(jī)MMC 管理單元中的視圖類似，它們都顯示 OU 分層構(gòu)造。然而，GPMC 與該管理單元不同之處在于，它

19、不顯示 OU 中的用戶、計(jì)算機(jī)和組，而顯示鏈接到每個(gè)容器的 GPO 以及鏈接到這些 GPO 本身的 GPO。GPMC 中的每個(gè)域節(jié)點(diǎn)都顯示以下工程。鏈接到該域的一切 GPO。一切頂級(jí) OU、嵌套 OU 樹(shù)狀視圖以及鏈接到每個(gè) OU 的 GPO。顯示域中一切 GPO 的“組戰(zhàn)略對(duì)象容器。顯示域中一切 WMI 挑選器的“WMI 挑選器容器。要查看與特定容器關(guān)聯(lián)的 GPO，請(qǐng)按照以下步驟操作：1.在“域樹(shù)下，單擊“contoso樹(shù)。此時(shí)將出現(xiàn)與該容器域根目錄關(guān)聯(lián)的 GPO，如圖 3 所示?？蓪⒋烁拍钸\(yùn)用于任何域容器。圖 3. 域根目錄中的 GPO要查看與特定域關(guān)聯(lián)的一切 GPO，請(qǐng)按照以下步驟操作：

20、1.在“域樹(shù)下，單擊“contoso旁邊的加號(hào) (+)，然后單擊“組戰(zhàn)略對(duì)象。搜索 GPO可以在林或域級(jí)別進(jìn)展 GPO 搜索。經(jīng)過(guò)運(yùn)用單個(gè)或多個(gè)搜索參數(shù)，有助于在大量的 GPO 中減少搜索結(jié)果的范圍。要運(yùn)用多個(gè)搜索參數(shù)在 contoso 林中查找特定 GPO，請(qǐng)按照以下步驟操作：1.在控制臺(tái)樹(shù)中，右鍵單擊“林:contoso，然后單擊“搜索。2.在“搜索項(xiàng)框中，選擇“GPO 稱號(hào)，鍵入“Password作為“值，然后單擊“添加。3.在“搜索項(xiàng)框中，選擇“計(jì)算機(jī)配置，選擇“Security作為“值，然后單擊“添加。4.單擊“搜索。結(jié)果應(yīng)該如圖 4 所示。圖 4. 基于條件的 GPO 搜索5.在前

21、往搜索結(jié)果后，您可以執(zhí)行以下操作之一：要翻開(kāi) GPO 進(jìn)展編輯，請(qǐng)單擊“編輯。要保管搜索結(jié)果，請(qǐng)單擊“保管結(jié)果。在“保管 GPO 搜索結(jié)果對(duì)話框中，指定保管結(jié)果的文件稱號(hào)，然后單擊“保管。要閱讀到在搜索中找到的某個(gè) GPO，請(qǐng)?jiān)谒阉鹘Y(jié)果列表中雙擊該 GPO。要去除搜索結(jié)果，請(qǐng)單擊“去除。要封鎖“搜索組戰(zhàn)略對(duì)象對(duì)話框，請(qǐng)單擊“封鎖。確定 GPO 的作用域只能經(jīng)過(guò)正確地將 GPO 運(yùn)用于要管理的 Active Directory 容器來(lái)實(shí)現(xiàn)組戰(zhàn)略值。確定哪些用戶和計(jì)算機(jī)接納 GPO 中的設(shè)置的過(guò)程稱為“確定 GPO 的作用域。確定 GPO 作用域的過(guò)程基于三個(gè)要素。GPO 鏈接到的站點(diǎn)、域或 OU

22、 將 GPO 中的設(shè)置運(yùn)用于用戶和計(jì)算機(jī)的主要機(jī)制是，將 GPO 鏈接到 Active Directory 中的站點(diǎn)、域或 OU。鏈接 GPO 的位置稱為“管理作用域或 SOM在前面的白皮書(shū)中也將其視為 SDOU。SOM 共有三種類型：站點(diǎn)、域和 OU?？蓪⒁粋€(gè) GPO 鏈接到多個(gè) SOM，也可以將一個(gè) SOM 鏈接到多個(gè) GPO。要運(yùn)用某個(gè) GPO，您必需將其鏈接到 SOM。GPO 上的平安挑選默許情況下，位于鏈接了 GPO 的 SOM 及其子對(duì)象中的一切 Authenticated Users已授權(quán)用戶將運(yùn)用 GPO 中的設(shè)置。經(jīng)過(guò)管理 GPO 中的權(quán)限，您可以進(jìn)一步細(xì)化哪些用戶和計(jì)算機(jī)將

23、接納 GPO 中的設(shè)置。這稱為“平安挑選。對(duì)于要運(yùn)用于特定用戶或計(jì)算機(jī)的 GPO，該用戶或計(jì)算機(jī)必需擁有該 GPO 的“讀取和“運(yùn)用組戰(zhàn)略權(quán)限。默許情況下，GPO 權(quán)限允許“Authenticated Users組擁有這兩個(gè)權(quán)限。這就是在將新 GPO 鏈接到 SOMOU、域或站點(diǎn)時(shí)，一切已授權(quán)用戶接納該 GPO 設(shè)置的方法。但是，可以更改這些權(quán)限，將 GPO 的作用域限定為它所鏈接到的 SOM 中的一組特定用戶、組和/或計(jì)算機(jī)。GPO 上的 WMI 挑選器 經(jīng)過(guò)運(yùn)用 WMI 挑選器，管理員可以基于目的計(jì)算機(jī)屬性經(jīng)過(guò) WMI 實(shí)現(xiàn)動(dòng)態(tài)地確定 GPO 的作用域。WMI 挑選器由一個(gè)或多個(gè)查詢組成，

24、這些查詢針對(duì)目的計(jì)算機(jī) WMI 儲(chǔ)存庫(kù)的求值結(jié)果為真或假。WMI 挑選器是與目錄中 GPO 不同的對(duì)象。要將 WMI 挑選器運(yùn)用于某個(gè) GPO，請(qǐng)將挑選器鏈接到該 GPO，如 GPO 的“作用域選項(xiàng)卡上的“WMI 挑選部分所示。每個(gè) GPO 只能有一個(gè) WMI 挑選器，不過(guò)，可以將同一個(gè) WMI 挑選器鏈接到多個(gè) GPO。在目的計(jì)算機(jī)上運(yùn)用鏈接到 WMI 挑選器的 GPO 時(shí)，將在該目的計(jì)算機(jī)上對(duì)該挑選器進(jìn)展求值。假設(shè) WMI 挑選器計(jì)算結(jié)果為假，那么不運(yùn)用 GPO。假設(shè) WMI 挑選器計(jì)算結(jié)果為真，那么運(yùn)用 GPO。要確定在以前搜索中找到的“Domain Password PolicyGPO

25、 的作用域，請(qǐng)按照以下步驟操作：1.在“搜索組戰(zhàn)略對(duì)象搜索結(jié)果窗格中，雙擊“Domain Password Policy，然后單擊“封鎖。留意：在封鎖“搜索組戰(zhàn)略對(duì)象對(duì)話框后，以前選擇的 GPO 在 GPMC 中具有焦點(diǎn)。此時(shí)將出現(xiàn)“GPO 作用域頁(yè)，如圖 5 所示。圖 5. 確定 GPO 的作用域要檢查 GPO 將運(yùn)用的戰(zhàn)略，請(qǐng)按照以下步驟操作：1.在“Domain Password Policy結(jié)果窗格中，單擊“設(shè)置選項(xiàng)卡，然后單擊“全部顯示。此時(shí)將顯示一切已定義戰(zhàn)略設(shè)置的摘要如圖 6 所示，但不顯示未定義的設(shè)置。圖 6. 檢查 GPO 設(shè)置GPO 戰(zhàn)略承繼和鏈接順序特定容器的“組戰(zhàn)略承繼

26、選項(xiàng)卡顯示從父容器承繼的一切 GPO鏈接到站點(diǎn)上的 GPO 除外。該選項(xiàng)卡中的“優(yōu)先列顯示一切鏈接的總體優(yōu)先級(jí)這些鏈接將運(yùn)用于該容器中的對(duì)象，并思索“鏈接順序和每個(gè)鏈接的“強(qiáng)迫屬性以及“阻止承繼。要查看容器中的戰(zhàn)略承繼，請(qǐng)按照以下步驟操作：1.在“組戰(zhàn)略管理窗口的“contoso樹(shù)下面，展開(kāi)“AccountsOU，然后單擊“HeadquartersOU，如圖 7 所示。圖 7. 組戰(zhàn)略承繼假設(shè)將多個(gè) GPO 鏈接到一樣的容器，并且這些 GPO 具有一樣的設(shè)置，那么必需有一個(gè)協(xié)調(diào)這些設(shè)置的機(jī)制。這種行為是由鏈接順序控制的。鏈接順序編號(hào)越小，優(yōu)先級(jí)越高。特定容器鏈接的相關(guān)信息顯示在該容器的“鏈接的

27、組戰(zhàn)略對(duì)象選項(xiàng)卡中。該窗格顯示能否強(qiáng)迫進(jìn)展鏈接，能否啟用鏈接，GPO 形狀，能否運(yùn)用 WMI 挑選器，其修正時(shí)間以及存儲(chǔ)它的域容器。委派了“將 GPO 鏈接到容器權(quán)限的管理員或用戶可以運(yùn)用以下方法更改鏈接順序：突出顯示 GPO 鏈接，然后運(yùn)用向上和向下箭頭，在鏈接順序列表中向上或向下挪動(dòng)鏈接。要更改容器中的戰(zhàn)略鏈接順序，請(qǐng)按照以下步驟操作：1.在“Headquarters屏幕上，單擊“鏈接的組戰(zhàn)略對(duì)象。2.在“GPO列下面，單擊“Linked Policies，然后單擊“鏈接順序列左側(cè)的向上箭頭。完成后，“HeadquartersOU 下面 GPO 的鏈接順序應(yīng)該如圖 8 所示。圖 8. GP

28、O 鏈接順序GPO 備份、復(fù)原、復(fù)制以及導(dǎo)入備份 GPOGPO 備份操作將 GPO 中的數(shù)據(jù)復(fù)制到文件系統(tǒng)中。備份功能還具有 GPO 導(dǎo)出功能?？蛇\(yùn)用 GPO 備份將 GPO 復(fù)原到已備份形狀，或者將備份中的設(shè)置導(dǎo)入到另一個(gè) GPO 中。GPO 備份操作將 GPO 內(nèi)部存儲(chǔ)的一切信息保管到文件系統(tǒng)中。其中包括以下內(nèi)容：GPO 全局獨(dú)一標(biāo)識(shí)符 (GUID) 和域 GPO 設(shè)置GPO 中的自在訪問(wèn)控制列表 (DACL)WMI 挑選器鏈接假設(shè)有的話，但不包括挑選器本身到 IP 平安戰(zhàn)略的鏈接假設(shè)有的話GPO 設(shè)置的可擴(kuò)展標(biāo)志言語(yǔ) (XML) 報(bào)告可將其視為 GPMC 中的 HTML備份的日期和時(shí)間戳

29、用戶提供的備份闡明GPO 備份操作只保管在 GPO 中存儲(chǔ)的數(shù)據(jù)。在 GPO 外面存儲(chǔ)的數(shù)據(jù)包括以下內(nèi)容：到站點(diǎn)、域或 OU 的鏈接WMI 挑選器IP 平安戰(zhàn)略在將備份復(fù)原到原始 GPO 或?qū)胄?GPO 時(shí)，該數(shù)據(jù)不可用。要備份“Domain Password PolicyGPO，請(qǐng)按照以下步驟操作：1.在“組戰(zhàn)略管理窗口的“contoso樹(shù)下面，單擊“組戰(zhàn)略對(duì)象文件夾。2.在“組戰(zhàn)略對(duì)象文件夾中，右鍵單擊“Domain Password PolicyGPO，然后單擊“備份。3.在“備份組戰(zhàn)略對(duì)象對(duì)話框中，鍵入“c:windows作為“位置，鍵入“Domain Password Policy

30、 Backup作為“描畫(huà)，然后單擊“備份。4.在備份完成后，單擊“確定繼續(xù)。管理備份可以將多個(gè)一樣或不同的 GPO 備份存儲(chǔ)在一樣的文件系統(tǒng)位置中。每個(gè)備份都運(yùn)用獨(dú)一的備份 ID 來(lái)標(biāo)識(shí)。可以運(yùn)用 GPMC 中的“管理備份對(duì)話框或經(jīng)過(guò)可編程接口來(lái)管理特定文件系統(tǒng)位置中的備份集合?？山?jīng)過(guò)右鍵單擊特定域中的“域節(jié)點(diǎn)或“組戰(zhàn)略對(duì)象節(jié)點(diǎn)來(lái)訪問(wèn)“管理備份對(duì)話框。在從“組戰(zhàn)略對(duì)象節(jié)點(diǎn)中翻開(kāi)“管理備份時(shí)，就會(huì)自動(dòng)對(duì)視圖進(jìn)展挑選，以便只顯示該域的 GPO 備份。在從“域節(jié)點(diǎn)中翻開(kāi)“管理備份對(duì)話框時(shí)，將會(huì)顯示一切備份無(wú)論備份哪個(gè)域。要管理可用的 GPO 備份，請(qǐng)按照以下步驟操作：1.在“組戰(zhàn)略管理窗口的“con

31、toso樹(shù)下面，右鍵單擊“組戰(zhàn)略對(duì)象文件夾，然后單擊“管理備份。此時(shí)將出現(xiàn)“管理備份窗口，如圖 9 所示。圖 9. 管理備份2.在“管理備份窗口中，單擊以突出顯示先前創(chuàng)建的“Domain Password Policy Backup，然后單擊“查看設(shè)置。3.查看詳細(xì)的 GPO 信息，然后封鎖“Internet Explorer。從備份復(fù)原GPO 復(fù)原操作從備份數(shù)據(jù)中重新創(chuàng)建 GPO?？梢栽谝韵聝煞N情況下運(yùn)用復(fù)原操作：備份了 GPO 但以后將其刪除；或 GPO 處于活動(dòng)形狀，并且您要回滾到先前的知形狀。復(fù)原操作將替代以下 GPO 組件。GPO 設(shè)置GPO 上的 DACLWMI 挑選器鏈接但不包括

32、挑選器本身復(fù)原操作只能復(fù)原屬于 GPO 的對(duì)象，其中包括到站點(diǎn)、域或 OU 的鏈接、WMI 挑選器以及 IPSec 戰(zhàn)略。要復(fù)原“Domain Password PolicyGPO，請(qǐng)按照以下步驟操作：1.在“管理備份窗口中，單擊“復(fù)原。2.在出現(xiàn)提示時(shí)，單擊“確定復(fù)原選定的備份。3.在 GPO 復(fù)原完成后，單擊“確定。4.在“管理備份對(duì)話框中，單擊“封鎖。復(fù)制 GPO您可以運(yùn)用復(fù)制操作，將 Active Directory 中現(xiàn)有 GPO 的設(shè)置直接傳送到新的 GPO 中。將為復(fù)制操作期間創(chuàng)建的新 GPO 指定一個(gè)新的 GUID，并且將其解除鏈接?？梢赃\(yùn)用復(fù)制操作，將設(shè)置傳送到一樣域、一樣林

33、的其他域或其他林的域中的新 GPO。由于復(fù)制操作將 Active Directory 中的現(xiàn)有 GPO 作為源，所以源和目的域之間需求具有信任關(guān)系。復(fù)制操作適用于在消費(fèi)環(huán)境之間挪動(dòng)組戰(zhàn)略。只需源和目的域之間具有信任關(guān)系，就可以運(yùn)用這些操作將測(cè)試域或林中經(jīng)過(guò)測(cè)試的組戰(zhàn)略遷移到消費(fèi)環(huán)境中。要復(fù)制 GPO，請(qǐng)按照以下步驟操作：1.在“contoso樹(shù)下面的“組戰(zhàn)略對(duì)象文件夾中，右鍵單擊“Enforced User PoliciesGPO，然后單擊“復(fù)制。2.單擊“vancouver.contoso旁邊的加號(hào) (+) 將樹(shù)展開(kāi)，然后單擊“組戰(zhàn)略對(duì)象旁邊的加號(hào) (+) 將樹(shù)展開(kāi)。3.右鍵單擊“組戰(zhàn)略對(duì)象

34、，然后單擊“粘貼。4.在“跨域復(fù)制導(dǎo)游中，單擊“下一步繼續(xù)。5.在“指定權(quán)限屏幕上，選擇“新 GPO 運(yùn)用默許權(quán)限默許，如圖 10 所示，然后單擊“下一步。圖 10. 跨域復(fù)制導(dǎo)游6.在掃描完原始 GPO 后，單擊“下一步繼續(xù)。7.在“完成跨域復(fù)制導(dǎo)游屏幕上，檢查設(shè)置，然后單擊“完成。8.在完成復(fù)制操作后，單擊“確定。留意：“Enforced User PoliciesGPO 已復(fù)制到 vancouver.contoso 域中，不過(guò)它尚未鏈接到任何容器上。要將“Enforced User PoliciesGPO 鏈接到 vancouver.contoso 的根目錄，請(qǐng)按照以下步驟操作：1.右鍵

35、單擊“vancouver.contoso，單擊“鏈接現(xiàn)有 GPO，單擊以突出顯示“Enforced User Policies，然后單擊“確定。導(dǎo)入 GPO導(dǎo)入操作運(yùn)用文件系統(tǒng)位置中的已備份 GPO 作為其源，將設(shè)置傳送到 Active Directory 中的現(xiàn)有 GPO。可以運(yùn)用導(dǎo)入操作，將一個(gè) GPO 的設(shè)置傳送到一樣域中的其他 GPO、一樣林中其他域的 GPO、或不同林中域的 GPO。導(dǎo)入操作一直將已備份設(shè)置放在現(xiàn)有的 GPO 中。它會(huì)去除目的 GPO 中預(yù)先存在的任何設(shè)置。導(dǎo)入并不要求源域和目的域之間具有信任關(guān)系，因此，非常適用于在沒(méi)有信任關(guān)系的林和域之間傳送設(shè)置。將設(shè)置導(dǎo)入到 GPO 并不會(huì)影響其 DACL；也不會(huì)影響站點(diǎn)、域或 OU 到該 GPO 的鏈接或者到 WMI 挑選器的鏈接。要將 contoso“Domain Password Policy導(dǎo)入到 vancouver.contoso“Domain Password Policy中，請(qǐng)按照以下步驟操作：1.在“組戰(zhàn)略管理窗口