組策略 從入門到精通

組策略從入門到精通（一）組策略的還原與備份和匯入AD活動目錄的應用已經十分廣泛了，組策略管理是我們?yōu)槠髽I(yè)規(guī)劃重要的一部分，掌握好組策略的應用會實現(xiàn)很廣泛的應用。本次推出此系列，介紹一系列的組策略應用，并且簡單易懂，文章短小易懂易操作，真正簡單實現(xiàn)從入門到精通。組策略的備份搭建域環(huán)境，從管理工具中找到組策略管理器，接下來的一段時間里，我們要與這個管理程序結下不解之緣。展開林-域-組策略對象，本章節(jié)所有內容微軟這個容器來做。2010/5/26fl2DL硒『網,?20lQl/S；S0湖郵燦$3H0/S/2B勺ME用已扇用已啟用己啟2010/5/26fl2DL硒『網,?20lQl/S；S0湖郵燦$3H0/S/2B勺ME用已扇用已啟用己啟Jfl壬用A言■也k。靶~仙UmiT已1B用jDt2*tdI3）*心占己J&用DetailA-4*Doatalx...□MiiBL..DtanixMh,..D4*tanM*DniafiA-^tat.iiD-?*arL*4*...r-fipisn里注4tvlirE>J姑點t￡慕留捕*rtFvrrurt-e-MK3IT武mI僚祝捅I南盲耆I枷府F」蠢女J就sm皿2J我們可以右鍵任意一條組策略進行備份，操作相當容易，右鍵組策略，選擇備份，選擇備份路徑和相關的描述即可。

同時我們也可以選擇多條組策略，右鍵其中一條進行備份。效果同上面是一樣的。同樣的，我們可以直接選擇組策略對象，右鍵選擇備份，將所有的組策略進行備份。組策略的還原右鍵組策略對象，選擇管理備份。

選擇我們需要的策略，在還原之前我們可以查看設置。

這里會出現(xiàn)關于所選擇組策略的一個報表，確認無誤后我們可以進行還原。在進行還原的動作中我們只能夠每次還原一個。同樣，我們可以右鍵一條GPO，如果備份中有修改這條策略的模板，那么可以通過這里還原到以前的狀態(tài)。在還原GPO的時候是一個向導的模式，一樣的我們可以在其中查看對于策略的報表。組策略的匯入當我們需要做組策略的替代工作，可以直接使用匯入功能。

因為在匯入的同時會將原有的策略刪除，一般選擇新建策略來完成導入。操作也十分容易，直接下一步就可以導入成功。因為在匯入的同時會將原有的策略刪除，一般選擇新建策略來完成導入。操作也十分容如果客戶機與DC中間跨越了網絡，造成傳輸速率慢的情況，我們希望通過策略中的一些元素，達成對這些計算機的另類處理。但我們并不知道這些計算機哪些與我們DC之間屬于低速連接，哪些屬于高速連接，那么我們要如何通過組策略解決。打開組策略管理器，編輯一條組策略，當然在做完設置之后，我們需要給這些計算機做一個OU，做好策略的鏈接就可以生效了。打開組策略管理器，，計算機配置一管理模板一系統(tǒng)一組策略（組策略在最后項中）打開組策略管理器，■組策路計算機配置一管理模板一系統(tǒng)邸-頊目楂首它維丞jt-I錄源布

登電余瞞器管理罟關機邸可移動存儲訪問憑撅渣驅動程岸安裝區(qū)域設置巳旁設音安裝受信任的平臺模塊服旁網絡登錄艾仁奕亙定向系翊歪原此能控制面板箕荒解笞相診斷硬盤皿鯉辱『戶皆宣偵件k建過程謂用""」噠皆楠土_BSL刪琮用戶激遷有忌簧路劇斯的能力，膀賺叫控鋼邕計靴睇響間隔_L；或禎涂E堿慚間隔兇對于組策雁史理編輯蜀，總是使耳本地位兇關閉策雁成豎是集記錄L.言動策雁處理等存時間【用頃翹環(huán)畋理模式芟過悠端脂糙錄嶇臉處埋驢巖晶赫程序瓠處擔晝救廊策做袒兇髓策物理舊沒替理師策睦史坦L研道策雁處理L文牛策服處理L榔迭項做理【文牘第驟擔［皿洲遮處擔,：Znterr.et設置策翩理Z本地用戶和蛆策昭處理L網堵共享策暗史坦L網絡邸策帔迫■,由廊扣百留狙炒也?北個強右邊的界面我們可以看到有很多的設置，隨便選取一個進行分析。設備策略處理。啟用之后我們可以看到三條選項。允許通過慢速網絡連接進行處理當我們不勾選，我們在這里做的組策略對于慢速網絡連接的計算機是不生效的。周期性后臺處理不要應用默認情況下客戶機90分鐘會更新一次組策略，DC本身也會5分鐘更新一次，當勾選此項，則在時間到的情況下不會去更新。適用于慢速連接不用常常連接到DC上去找策略更新。

即使尚未更改組策略對象也進行處理也就是說，如果不勾選此項，當組策略沒有進行更新的時候，計算機是不會進行尋找策略的。在右邊的選項中還有很多相關的選項。■組董喑管翳輸暑|n|x■組董喑管翳輸暑|n|x劉神）控作加幫助出）1加E-T匕E強植亦日1加E-T匕E強植亦日□策冊--日■■+I+I+I-I電源迭咬策略處理顯示國性要求:至/具有512&］llizrosoft肌血郵XFFroEessiond或WindowsServer2003參施電源覲糊客戶湍擴展婀旅略燭理料L美邛且策雎依后臺刷菊E本崎翻鼬理［瞞朋激制器制割暗能力1計篁機組策雁刷林間隔【峻瀏囂雎醐慚間膈日對于組策雁對舅漏輯薯，總是使用本地潮女牛二美田策略案結果集記錄,尚策覷理等徹間K沮轆做啤式L通形翩膀登釧允謔瓠埋用弛瓠二應用程序策雁處坦二數(shù)據(jù)原策雁處理L殳暑策璃處理二噲暑駛射策匪晝也L待璐處理L對策敝理1女牛夾這晦史擔K夾蛔理L皿文件策麒坦；_In吳理巨t設置策晤迎睚r煎也朋戶和組策略處理■.國嗯性與筌侄加陽皆aw皆菱要胃宣更適置置置宣言皆壹菱胃宣更害

sf甄甄gisigist座新商gisigisisf甄甄商gigist座畫

-<二..?二.、二\-T--r-rhr二..?二、-T7-T-一r-r-whrhr-E-T--r-rhr_H

Tf?IKITT3彳tr?TfrTfr3Tfv彳it?mTFT3彳彳tr?TfrTfrn1|15叫站訕j廠㈱11虱.修］室組策昭管理_組策魘管理縮輯罟基本已經包含我們常用的策略，當我們需要設置讓跨越WAN網的計算機，或者說是慢速連接的計算機不要應用設定的組策略的時候，可以在其中進行操作。那么，什么樣的速度叫做慢速連接呢？其中在選項卡中我們可以進行設置。打開組策略■組策路慢速鏈接檢測。:--+++-m珈剃nnn町計口00日易示11±要求：至少IflicroscftWindows20￡2,K膀嘟后浦■組策路慢速鏈接檢測。:--+++-m珈剃nnn町計口00日易示11±要求：至少IflicroscftWindows20￡2,K膀嘟后浦1E勒瀚版憧處埋￡刪徐用戶滋活機器策暇刷新的能力組部費諫桶接榆制匣性?|x|狀態(tài)為「朗粕更豌膀璐而定聶|說明I涌I巔。如果摭狀策麝更祥域通眼組咐+判顧停略此設置指定的醴柔為典;W跨系細推蛔生瑚應策略力間有折下司頃現(xiàn)策I序W能討曼螂糧肘，此艾件夾中的策頓:許您替代程序指定的對憎謁反應令要使用尚遺青在御j對話框中，建人介于口和4.294967,200之可拘十避若撕苴位力割千比特f速麝虛個穗景的任何賊力是幔的、叩果的C-.I1^JinnILL」\擴晨「刑白||戔8：匚組鋼瞰懿孤r未酉底。&巳啟用也）］宣組策昭管理II組策魘管理縮輯罟啟用之后，看到默認連接速度小于500KB的計算機會被視作慢速連接，會應用到上述的策略中。我們也可以進行修改。這樣我們就實現(xiàn)了讓與DC跨越WAN的計算機效率更高，不用費力連接域控進行一系列的操作了。

在站點與站點之間，組策略是相互復制的，其中的原理是如何的，本章將做一些介紹并且講解關于相互復制其中的一些操作。打開域控制器的c:\Windows\SYSVOL\sysvol\\Policies文件。(F)4文打開域控制器的c:\Windows\SYSVOL\sysvol\\Policies文件。(F)4文看S-圖1,視..I.■工具(I)大小IT標記HI>>檔片樂多.!,囹音更-Id/t..-tu..-fc..-

寸，g.JM..-27甄-5...:就rim站>>檔片樂多.!,囹音更-Id/t..-tu..-fc..-

寸，g.JM..-seiirityServiceProfilessemcing上SetupjortivarellisIrabu-SpaechSysfikiCaizhesystemSyEtem32.SYSVDL一.dunaan阻Istaging[stagingareas圓.sysvrilPolicies圓，scriptstap!coral13so.conj'JUWW我這里只有一臺域控制器，不能以圖片的模式展現(xiàn)出各個觀點，多做講解作為補充。這個目錄下有很多文件夾，這些就是本機的GPO，如果在多個站點下，我們在不同的域控制器上的打開本地的這個文件夾，可以看到，其中的內容是相同的。也就是說，通過定期的復制，讓每個域控制器的這個文件夾保持一致，達成了策略的復制，策略的統(tǒng)一性。

Policies圓，scriptstap!打開站點和服務管理。-Ifllxl-14-|n|x||iPolicic劉操作叫登看叫wooActiveDimt町站點和服勞Sijbue{sIrater-E]tarr^sjorts-Ifllxl-14-|n|x||iPolicic劉操作叫登看叫wooActiveDimt町站點和服勞WIH-7QH4L5GCJPH我們可以在這里做新建站點的設置，因為我這里只有一臺DC,沒有相互復制，如果出現(xiàn)多臺DC，那么可以在右邊的窗口看到本臺服務器是從哪臺主機復制組策略的。并且我們可以右鍵這臺主機，選擇復制，就直接復制了組策略，不需要等待。WIH-7QH4L5GCJPH打開組策略管理，編輯一條組策略。在查看中，選擇DC選項。文件。挽作加幫助卸±Etr(c-)十苣迭匝-廣月戶國置田菖策昭十首逸員列表(I)?佯扭皓息(I)BC順..自定義叫...可以看到，當我們進行組策略編輯，并且鏈接了以后，我們是寫在那臺主機上然后進行分發(fā)的。默認是PDC模擬操作主機，還可以選擇管理單元使用的域控制器和使用任何可用的域控制器。當我們使用活動目錄一定時間，那么里面在不同的OU上做了不同的組策略，數(shù)量非常龐大，當我們需要將計算機或者用戶移動的時候，這些容器上所有的GPO是否是我們想要在這個用戶或者計算機上添加的，如果進行判斷，這里使用組策略建模的功能進行對這些容器上的GPO進行測試，下面看一下是如何實現(xiàn)的。打開組策略管理器，右鍵組策略建模，選擇組策略建模向導。下一步rJTlin年5月36日在這里我們可以對要哪那臺域控制上提取策略進行選擇。'rJ;

下一步之后，選擇相應的計算機容器和用戶容器，也就是選擇我們將我們的用戶或者計r'rJ;算機放入哪些OU中進行測試，默認情況下，如果用戶所承受的組策略與計算機承受的組策略沖突，用戶所應用的策略生效。在這里我們可以對要哪那臺域控制上提取策略進行選擇。'rJ;下一步之后，選擇相應的計算機容器和用戶容器，也就是選擇我們將我們的用戶或者計r'rJ;這里還可以對站點進行選擇，并且可以模擬當慢速連接的時候組策略會繼承哪些，關于'rJ;慢速連接的計算機對組策略應用的設置方法在本系列的第二張有提到。并且，進行對于用戶或者計算機進行轉移所屬組的情況進行模擬，默認會不變，仍然將'rJ;用戶和計算機放在原有組中進行模擬，點擊添加或者刪除進行模擬測試。在我們應用組策略的時候，往往