2023年全國(guó)碩士研究生考試考研英語(yǔ)一試題真題(含答案詳解+作文范文)_第1頁(yè)
已閱讀1頁(yè),還剩22頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、<p><b>  2011年 3 月</b></p><p>  作者:Darren Mar-Elia, Derek Melber, William R. StanekThe出版社:Microsoft Press出版時(shí)間:2005-05-25章節(jié):第一張,3至12頁(yè)</p><p><b>  組策略的概述</b></p&

2、gt;<p>  在本章,我們將介紹組策略。 你將學(xué)到組策略是做什么的 ,它是怎樣被用于域和工作組的設(shè)置中,以及實(shí)施組策略需要什么基礎(chǔ)設(shè)施。如果你要搭建一個(gè)活動(dòng)目錄服務(wù)的網(wǎng)絡(luò)環(huán)境,你就需要組策略。 就是這么回事。毫無(wú)疑問(wèn),沒(méi)有一點(diǎn)問(wèn)題。你面對(duì)的真正的問(wèn)題是給你組織的架構(gòu)和需求如何最大限度的運(yùn)用組策略提供的。 為什么?因?yàn)榻M策略意味著你作為管理員的生活變的更容易。微軟定義組策略這個(gè)術(shù)語(yǔ)是為了描述能夠允許你一起設(shè)置組策略同時(shí)把

3、它們運(yùn)用到離散集合(不相干記錄)的技術(shù)。實(shí)際上,組策略是一組為了簡(jiǎn)化管理共同的、重復(fù)的以及獨(dú)特的任務(wù)而又難以手工實(shí)施但是可以被自動(dòng)化執(zhí)行的策略設(shè)置(例如部署新的軟件或者強(qiáng)制執(zhí)行能夠安裝在電腦上的程序)。</p><p><b>  相關(guān)信息</b></p><p>  ■關(guān)于域名服務(wù)器體系結(jié)構(gòu)的信息,參考Microsoft Windows Server 2003 In

4、side Out(微軟服務(wù)器2003視窗)的第26章(微軟出版,2004)。</p><p>  ■關(guān)于活動(dòng)目錄系結(jié)構(gòu)的信息,參考Microsoft Windows Server 2003 Inside Out的第32章。</p><p>  ■ 關(guān)于組策略實(shí)施的信息,參考本書(shū)的第四章。</p><p><b>  了解組策略</b></

5、p><p>  組策略提供了一種方便高效的方法來(lái)管理計(jì)算機(jī)和用戶設(shè)置。</p><p><b>  組策略做什么</b></p><p>  通過(guò)組策略,你能用完成(manage)設(shè)置一個(gè)用戶或者一臺(tái)計(jì)算機(jī)的方法完成設(shè)置成千的用戶或者計(jì)算機(jī)——無(wú)需離開(kāi)你的辦公桌(座位)。對(duì)于這些,你可以使用一個(gè)或多個(gè)管理工具改變?cè)O(shè)置成期望值,同時(shí)通過(guò)網(wǎng)絡(luò)把這些改變

6、應(yīng)用到一段期望的用戶和計(jì)算機(jī)或者任意一個(gè)用戶和計(jì)算機(jī)。</p><p>  一種理解思路是組策略好比一組規(guī)則能夠幫助你管理用戶和計(jì)算機(jī)。盡管缺乏一致的理解,用這種思路理解組策略可能比以前的更直觀。仍然不可思議? 想想在組策略(出現(xiàn))之前,許多組策略的管理改變只能通過(guò)修改Windows注冊(cè)表,每一個(gè)改變不得不單獨(dú)的在每一臺(tái)目標(biāo)主機(jī)上進(jìn)行。隨時(shí)間變化,實(shí)施的棘手,可能會(huì)導(dǎo)致災(zāi)難性后果?當(dāng)然了。</p>

7、<p>  進(jìn)入組策略,憑借它你可以簡(jiǎn)單的使用或者取消一個(gè)策略調(diào)整注冊(cè)表鍵值或者其它設(shè)置,這些改變?cè)诮M策略下次刷新時(shí)能夠被自動(dòng)的應(yīng)用到你指定的每臺(tái)計(jì)算機(jī)上。由于改變能夠被效仿(通過(guò)組策略控制臺(tái))在修改被應(yīng)用之前,(因此)你可以確定每一個(gè)期望改變的效果。另外,如果你不滿意(改變的)結(jié)果,你可以通過(guò)設(shè)置策略取消改變使其回到初始或者未配置狀態(tài)。</p><p>  進(jìn)一步采取這種情形,當(dāng)你用手工修改一臺(tái)機(jī)器的

8、多個(gè)微軟窗口的注冊(cè)表設(shè)置項(xiàng)這種情況時(shí)你將面對(duì)問(wèn)題。可能用戶不能登錄,(計(jì)算機(jī))它們不能執(zhí)行必須的動(dòng)作,或者計(jì)算機(jī)不能正常的響應(yīng)。如果您記錄了每臺(tái)計(jì)算機(jī)上的每個(gè)變動(dòng),你可能取消那些改變——如果你夠幸運(yùn)同時(shí)你還正確的記錄初始的設(shè)置以及改變。相比之下,組策略允許你返回(“備份”)到改變執(zhí)行之前的組策略狀態(tài)。如果一些東西運(yùn)行出錯(cuò),你可以恢復(fù)組策略到它的初始狀態(tài)。當(dāng)你恢復(fù)組策略狀態(tài),你可以確定在下次組策略刷新時(shí)所有的改變沒(méi)有執(zhí)行。</p&g

9、t;<p><b>  組策略怎么工作</b></p><p>  講到組策略刷新,你可能對(duì)這個(gè)術(shù)語(yǔ)意思的感到疑惑。詳細(xì)的細(xì)節(jié)見(jiàn)第二章,這里只介紹基本的組策略應(yīng)用(開(kāi)始過(guò)程)和簡(jiǎn)單的刷新(隨后過(guò)程)。在活動(dòng)目錄中,兩個(gè)不同的的策略集合(組)被定義:</p><p>  ■ 計(jì)算機(jī)策略:它們保存在組策略中的計(jì)算機(jī)配置下并應(yīng)用于計(jì)算機(jī)。</p>

10、<p>  ■ 用戶策略:它們保存在組策略中的用戶配置下并被用戶使用。</p><p>  程序初始化時(shí)相關(guān)的策略通過(guò)兩種不同的事件被觸發(fā):</p><p>  ■當(dāng)計(jì)算機(jī)開(kāi)機(jī)時(shí)計(jì)算機(jī)策略進(jìn)程被觸發(fā)。當(dāng)計(jì)算機(jī)開(kāi)始工作網(wǎng)絡(luò)連接初始化,計(jì)算機(jī)策略設(shè)置被應(yīng)用同時(shí)一個(gè)歷史的注冊(cè)表基本設(shè)置以%AllUsersProfile%\Ntuser.pol被使用。</p><

11、p>  ■ 當(dāng)用戶登錄計(jì)算機(jī)時(shí)用戶策略進(jìn)程被觸發(fā)。當(dāng)一個(gè)用戶登錄到計(jì)算機(jī)上,用戶策略設(shè)置被應(yīng)用同時(shí)一個(gè)歷史的注冊(cè)表基本設(shè)置 %UserProfile%\Ntuser.pol 被使用。</p><p>  一旦被使用,組策略設(shè)置會(huì)自動(dòng)的刷新保持當(dāng)前的設(shè)置同時(shí)表現(xiàn)出執(zhí)行后相應(yīng)的改變。在默認(rèn)情況下,域控制器上的組策略每5分鐘刷新一次。對(duì)于工作站和其他類(lèi)型的服務(wù)器,默認(rèn)情況下組策略每90-120分鐘刷新一次。除此之

12、外,在間隔時(shí)間內(nèi)組策略每16個(gè)小時(shí)刷新一次不管是否有策略設(shè)置的改變。</p><p>  注意:公開(kāi)的,在工作站和成員服務(wù)器上組策略的默認(rèn)刷新間隔時(shí)間是90分鐘,但是增加30分鐘的截止時(shí)間來(lái)避免域控制器中多個(gè)同時(shí)刷新(造成的)的請(qǐng)求泛濫。這種作用使得默認(rèn)刷新時(shí)機(jī)從90到120分鐘(不等)。</p><p>  要點(diǎn):其他一些因素也能影響組策略刷新, 包括慢關(guān)聯(lián)檢測(cè)如何被確定 (每個(gè)組策略的

13、慢關(guān)聯(lián)檢測(cè)策略在 Computer Configuration\Administrative Templates\System\Group Policy下)和ComputerConfiguration\Administrative Templates\System\Group Policy 下策略的策略進(jìn)程設(shè)置。你可以使用組策略控制臺(tái)(GPMC)查看最近一次組策略刷新。(參閱目錄第三章“Determining Policy Settin

14、gs and Last Refresh”目錄部分。)</p><p><b>  使用和實(shí)施組策略</b></p><p>  組策略對(duì)于活動(dòng)目錄的成功實(shí)施是那么的重要以至于絕大多數(shù)管理員把它做為活動(dòng)目錄的組成對(duì)待。這大部分是正確的——以這種思路理解也是可以的——但是使用組策略不是必須需要活動(dòng)目錄。</p><p>  在工作組和域中使用組策略

15、</p><p>  你能夠使用組策略管理運(yùn)行微軟Windows 2000和Windows XP 專(zhuān)業(yè)版的工作站甚至運(yùn)行Windows 2000 and Windows Server? 2003的服務(wù)器。當(dāng)然你不能使用組策略管理運(yùn)行Windows NT®的工作站或者服務(wù)器,Windows 95, Windows 98, Windows Millennium Edition (Me),或者Windows

16、XP Home Edition ,(但是)你可以在企業(yè)(域)和本地(工作組)的環(huán)境中使用組策略。 </p><p>  在企業(yè)環(huán)境中部署活動(dòng)目錄,徹底的設(shè)置策略環(huán)境是很便利的。這些策略設(shè)置參考域中基本組策略,活動(dòng)目錄中基本組策略,或者最簡(jiǎn)單的組策略(的設(shè)置)。在活動(dòng)目錄中,位置和組織單位是兩個(gè)重要的相關(guān)元素 (組織單元)。位置代表著你的網(wǎng)絡(luò)的物理結(jié)構(gòu)。它是一組TCP/IP 子網(wǎng)段被實(shí)施用來(lái)控制在物理網(wǎng)絡(luò)位置中目錄

17、響應(yīng)流量和隔離登錄認(rèn)證流量。OUs常常用于域中的一組對(duì)象。在域中一個(gè)OU是一個(gè)邏輯上的管理它可以代表一個(gè)組織或者它們的目的功能。</p><p><b>  組策略對(duì)象的工作</b></p><p>  組策略被應(yīng)用到不相關(guān)的地方,這涉及到組策略對(duì)象(GPOs)。GPOs控制設(shè)置能夠被計(jì)算機(jī)和用戶以多種方式應(yīng)用在特定的活動(dòng)目錄域,地點(diǎn),或者OU中。由于活動(dòng)目錄中的基本

18、層次結(jié)構(gòu),高等級(jí)的GPOs設(shè)置也能被低級(jí)的GPOs繼承。例如cpandl.com域的設(shè)置能被在那個(gè)域中的Engineering OU繼承,這個(gè)域的設(shè)置將會(huì)被應(yīng)用到Engineering OU 中的用戶和計(jì)算機(jī)。如果你不想策略設(shè)置被繼承,你可以禁用這些設(shè)置來(lái)確保只有那個(gè)為低一級(jí)組策略設(shè)置的組策略對(duì)象被應(yīng)用。</p><p>  要點(diǎn):由于域中組策略,你可能認(rèn)為使用組策略將會(huì)影響深林或域的作用強(qiáng)度,但是這不是問(wèn)題。在

19、深林和域中許多特定的功能模式不需要使用組策略。森林作用強(qiáng)度可以是Windows 2000, Windows Server 2003 Interim,或者 Windows Server 2003(操作系統(tǒng))。域作用水平強(qiáng)度可以是Windows 2000 Mixed,Windows 2000 Native,Windows Server 2003 Interim,或者 Windows Server 2003(操作系統(tǒng))。 </p>

20、<p>  在本地環(huán)境,一個(gè)被稱(chēng)為本地組策略的組策略子集是便利的。就像名字所指,本地組策略允許你管理策略設(shè)置并作用到每一個(gè)人登錄到的本地機(jī)器。這就意味著本地組策略應(yīng)用到了工作組成員中任何登錄到計(jì)算機(jī)的用戶或者管理員和域成員中任何登錄到本地計(jì)算機(jī)的用戶或管理員。由于本地組策略是組策略的一個(gè)子集,(因此)有些在域中可以設(shè)置的事情在本地卻不能。一般來(lái)說(shuō),你可以通過(guò)組策略管理策略區(qū)域中你不能管理的本地與活動(dòng)目錄有關(guān)的特征,例如安裝

21、軟件。猶如活動(dòng)目錄基本組策略,然而,本地策略通過(guò)組策略對(duì)象被管理。這些組策略對(duì)象參與扮演本地組策略對(duì)象角色。</p><p>  除去本地組策略和活動(dòng)目錄基礎(chǔ)組策略的基本上的差異,兩者的策略類(lèi)型被管理的方式一樣。實(shí)際上,你使用相同的工具來(lái)管理它們。關(guān)鍵的不同在你使用的GPO中。在本地計(jì)算機(jī)上,你使用專(zhuān)有的LGPO 。如果你已經(jīng)部署活動(dòng)目錄,那么,你可以使用除LGPOs之外的域,單元,和OU GPOs 。</

22、p><p>  注意:無(wú)論它們是客戶端工作站,成員服務(wù)器,或者域控制器,所有的Windows 2000, Windows XP Professional,和 Windows Server 2003 的計(jì)算機(jī)都有一個(gè)本地組策略項(xiàng)目。LGPO總是被處理的。但是,它具有最小的優(yōu)先級(jí),這意味著它可以通過(guò)設(shè)置站點(diǎn),域和OU被設(shè)置取代。雖然域控制器有本地組策略項(xiàng)目,(但是)對(duì)于域控制器的組策略被管理時(shí)最好通過(guò)一個(gè)被稱(chēng)為默認(rèn)域控制

23、器策略的默認(rèn)GPO。對(duì)于域有一個(gè)被叫做默認(rèn)域策略的默認(rèn)GPO。就像你想象的那樣,這些默認(rèn)的GPOs有特殊的目的同時(shí)以很特別的方法被使用。稍后你將會(huì)學(xué)到更多的關(guān)于這些默認(rèn)的GPOs在本章標(biāo)題為 “Working with Linked GPOs and Default Policy”的部分。</p><p><b>  組策略入門(mén)</b></p><p>  到目前為止

24、我們討論了組策略做什么,怎么做,怎么工作,但是我們沒(méi)有討論它幫你更好地管理你的網(wǎng)絡(luò)的確切的方法。</p><p>  了解組策略設(shè)置和選項(xiàng)</p><p>  首先,組策略或許不是你想象的那樣。如果你從Windows NT 4.0 的工作環(huán)境轉(zhuǎn)移到Windows Server 2003的環(huán)境中,你應(yīng)該知道前面合法的組策略和Windows NT 系統(tǒng)的策略是不同的。Windows NT系統(tǒng)的

25、策略是十分受限制的,坦率的講即使和組策略作用的領(lǐng)域相同。如果你在Windows 2000或者稍后的Windows操作系統(tǒng)上工作,你可能已經(jīng)看到組策略能做什么,不能做什么,或者你聽(tīng)到一些人錯(cuò)誤的把他們的困境歸咎于組策略。</p><p>  最直接的事實(shí)是你“告訴”它什么組策略就做什么。你通過(guò)配置策略設(shè)置管理組策略。你應(yīng)用的一個(gè)策略設(shè)置是一個(gè)單獨(dú)的設(shè)置,例如限制訪問(wèn)運(yùn)行對(duì)話框。大部分策略設(shè)置項(xiàng)有三種基本的狀態(tài):&l

26、t;/p><p>  ■ 啟用:策略設(shè)置項(xiàng)被打開(kāi),它的設(shè)置處于活動(dòng)(狀態(tài))。通常的你啟用一個(gè)策略設(shè)置應(yīng)確保它被執(zhí)行。一旦啟用,一些策略設(shè)置要求你配置額外的項(xiàng)為策略設(shè)置的應(yīng)用做出調(diào)整。</p><p>  ■ 禁用:策略設(shè)置項(xiàng)被關(guān)閉,它的設(shè)置不會(huì)被應(yīng)用。通常地,禁用一個(gè)策略設(shè)置應(yīng)確保它不被執(zhí)行。</p><p>  ■ 未配置:策略設(shè)置沒(méi)有被應(yīng)用。策略設(shè)置即不是活動(dòng)也不是

27、無(wú)效,同時(shí)沒(méi)有變化因策略導(dǎo)致配置設(shè)置觸發(fā)。</p><p>  對(duì)于他們自己,這些狀態(tài)相當(dāng)?shù)暮?jiǎn)單。但是一些人認(rèn)為組策略是復(fù)雜的因?yàn)檫@些基本狀態(tài)(改變)會(huì)引起繼承和阻塞(這里我們概要地涉及將在第三章做詳細(xì)討論)。記住兩條關(guān)于繼承和阻塞的規(guī)則,你將會(huì)在通往組策略成功的路上事半功倍:</p><p>  ■ 如果繼承策略設(shè)置被絕對(duì)的執(zhí)行,你不能越控他們——繼承策略設(shè)置被應(yīng)用不管當(dāng)前GPO的策略狀

28、態(tài)指派。</p><p>  ■ 如果在當(dāng)前的GPO中繼承策略設(shè)置被阻塞同時(shí)不是必須執(zhí)行,繼承策略設(shè)置能越控他們——繼承策略設(shè)置不會(huì)應(yīng)用,只有當(dāng)前GPO中的策略設(shè)置被應(yīng)用。</p><p><b>  使用組策略管理</b></p><p>  現(xiàn)在你已經(jīng)確切的知道怎么應(yīng)用單獨(dú)的策略設(shè)置,讓我們一起看看在管理域中應(yīng)用組策略。無(wú)論是你談?wù)摰谋镜亟M

29、策略或者域基本組策略,管理域和他們很類(lèi)似,但是在域基本組策略中你可以干更多事情。就像先前被提到過(guò)的,你不能使用本地組策略管理一些需要活動(dòng)目錄的特性;這些使用本地組策略能做與否的約束是本身的限制因素。</p><p>  通過(guò)組策略,你可以管理這些關(guān)鍵的管理區(qū)域:</p><p>  ■計(jì)算機(jī)和用戶腳本:為用戶配置登錄/注銷(xiāo)腳本和為計(jì)算機(jī)配置開(kāi)機(jī)/關(guān)機(jī)腳本。</p><p

30、>  ■文件夾重定向:為用戶轉(zhuǎn)移關(guān)鍵性的數(shù)據(jù)文件夾到網(wǎng)絡(luò)共享以便他們可以被更好的管理和規(guī)律性的備份(只適用基于域的組策略)。</p><p>  ■ 一般的計(jì)算機(jī)安全性:為賬戶建立安全設(shè)置,事件日志,約束組,系統(tǒng)服務(wù),注冊(cè)表,和文件系統(tǒng)。(對(duì)于本地組策略,你只能為賬戶策略提供管理一般性的計(jì)算機(jī)安全)</p><p>  ■ 本地安全策略:設(shè)置策略審計(jì),用戶權(quán)限指派,和用戶權(quán)限。<

31、;/p><p>  ■IE維護(hù):配置瀏覽器的界面,安全性,重要的URLs,默認(rèn)程序,代理,和其他更多。</p><p>  ■IP安全性:為客戶端,服務(wù)器,固定服務(wù)器設(shè)置IP安全策略</p><p>  ■ 公鑰安全性:設(shè)置自動(dòng)注冊(cè)公鑰策略,加密文件系統(tǒng)(EFS),企業(yè)信托,等等。</p><p>  ■ 軟件設(shè)置:自動(dòng)地安裝新軟件和軟件升級(jí)(只

32、適用基于域的組策略)。</p><p>  ■ 遠(yuǎn)程服務(wù)設(shè)置:在客戶端安裝中設(shè)置的選項(xiàng)可用。</p><p>  ■ 無(wú)線網(wǎng)絡(luò)(IEEE 802.11):為接入點(diǎn),客戶機(jī),設(shè)置無(wú)線網(wǎng)絡(luò)工作策略和網(wǎng)絡(luò)優(yōu)先級(jí)(只適用基于域的組策略)。</p><p>  ■ 軟件限制:限制軟件的部署和使用本地組策略不支持基于用戶的軟件限制策略,只支持基于計(jì)算機(jī)的軟件限制策略。</

33、p><p>  雖然一個(gè)特別的策略集合被稱(chēng)作管理模板,但是你也可以管理關(guān)于各個(gè)方面的用戶圖像界面接口(GUI),從菜單到桌面,任務(wù)欄,還有更多。管理模塊策略設(shè)置作用實(shí)際的注冊(cè)表設(shè)置,因此無(wú)論你是工作在本地組策略或者基于域的組策略適用的策略幾乎是同一的。你可以使用管理模塊來(lái)管理:</p><p>  ■ 控制面板 控制控制面板的進(jìn)入和選擇。你可以配置設(shè)置添加或刪除程序,打印機(jī),和地域與語(yǔ)言選擇

34、。</p><p>  ■ 桌面 配置Windows桌面,活動(dòng)桌面的外觀與交互,和從桌面活動(dòng)目錄搜索的選擇。</p><p>  ■ 網(wǎng)絡(luò) 配置網(wǎng)絡(luò)工作和網(wǎng)絡(luò)客戶端選項(xiàng),包括文件卸載,DNS 客戶端,和網(wǎng)絡(luò)連接。</p><p>  ■ 打印機(jī) 配置共享打印機(jī),瀏覽打印機(jī),打印池和直接選項(xiàng)</p><p>  ■ 共享文件夾 允許公用

35、的文件夾共享和分配文件系統(tǒng)(DFS)目錄。</p><p>  ■ 開(kāi)始程序和任務(wù)欄 配置開(kāi)始程序和任務(wù)欄,首要的移出或隱藏項(xiàng)目和選項(xiàng)。</p><p>  ■ 系統(tǒng) 配置策略相關(guān)的正常的系統(tǒng)設(shè)置,磁盤(pán)引述,用戶簡(jiǎn)介,登錄,電源管理,系統(tǒng)恢復(fù),錯(cuò)誤報(bào)告,和其他更多。</p><p>  ■ Windows 組件 配置是否或者怎么使用Windows組件,例如事件

36、監(jiān)視器,任務(wù)計(jì)劃?rùn)?,和Windows更新。</p><p>  了解組策略所需的基礎(chǔ)設(shè)施</p><p>  本地組策略是可用的對(duì)于運(yùn)行Windows 2000, Windows XP Professional, or Windows Server 2003的計(jì)算機(jī)來(lái)說(shuō)?;谟虻慕M策略只可用在運(yùn)行活動(dòng)目錄的網(wǎng)絡(luò)中。由于活動(dòng)目錄工作依靠TCP/IP協(xié)議和域名解析(DNS),因此你必須部署TC

37、P/IP網(wǎng)絡(luò)環(huán)境,DNS,和活動(dòng)目錄使用的基于域的組策略。</p><p><b>  DNS和活動(dòng)目錄</b></p><p>  DNS提供能使一臺(tái)計(jì)算機(jī)找到另一臺(tái)計(jì)算機(jī)的名字解析。這是一個(gè)有IETF給出的服務(wù)標(biāo)準(zhǔn)命名在RFC 1034 和 RFC 1035被詳細(xì)的說(shuō)明。在工作站和服務(wù)器上,DNS在TCP/IP協(xié)議簇被自動(dòng)的安裝,它提供幾種類(lèi)型,正向請(qǐng)求允許計(jì)算機(jī)

38、把主機(jī)名轉(zhuǎn)換成IP地址,反向請(qǐng)求允許計(jì)算機(jī)把一個(gè)IP地址轉(zhuǎn)換成主機(jī)名。</p><p>  活動(dòng)目錄為域和其他特征提供必需的目錄服務(wù)使他們能夠通過(guò)組策略被提前控制。對(duì)活動(dòng)目錄來(lái)說(shuō)基本的通訊協(xié)議是(LDAP)。LDAP是一個(gè)提供目錄訪問(wèn)且運(yùn)行在TCP/IP協(xié)議上的工業(yè)標(biāo)準(zhǔn)協(xié)議。客戶端可以使用LDAP來(lái)請(qǐng)求和管理目錄信息,符合他們準(zhǔn)許的訪問(wèn)等級(jí)。其他通訊協(xié)議也一樣支持,包括REPL接口,被用來(lái)復(fù)制;消息應(yīng)用程序接口(

39、MAPI),被用在老版本的消息客戶端;賬戶安全性管理(SAM)接口,允許Windows NT 4.0 的客戶端有限制的訪問(wèn)活動(dòng)目錄??偟膩?lái)說(shuō),這些接口允許:</p><p>  ■與LADP通信,活動(dòng)目錄服務(wù)交互(ADSI),以認(rèn)證為目的的新的客戶端展望,訪問(wèn)控制,目錄請(qǐng)求,和目錄管理。</p><p>  ■ 復(fù)制其他目錄服務(wù)器以達(dá)到為域控制器分發(fā)目錄變化目的</p>&l

40、t;p>  ■與舊(MAPI)的Outlook客戶端通信,主要用于查詢,</p><p>  ■ 為實(shí)現(xiàn)認(rèn)證和訪問(wèn)控制與Windows NT 4.0的客戶端通信</p><p>  通過(guò)在活動(dòng)目錄中使用DNS,你可以建立目錄結(jié)構(gòu)并給出很詳盡的列舉環(huán)境。目錄對(duì)象被域邏輯上分組。這使得域內(nèi)活動(dòng)目錄中的一個(gè)基本結(jié)構(gòu)阻塞。兩個(gè)額外的阻塞是單元和OUs,這些我們先前介紹過(guò)。</p>

41、<p>  活動(dòng)目錄有非常明確的規(guī)則當(dāng)它在域,站點(diǎn),和OUs中。網(wǎng)絡(luò)上的每一個(gè)工作站和服務(wù)器必須是域的一個(gè)成員同時(shí)位于一個(gè)單元中。一個(gè)工作站或者服務(wù)器只能屬于一個(gè)域和一個(gè)單元。組織單元,另一方面來(lái)說(shuō),被域明確定義,可以認(rèn)為是域中子集的包含者。例如,域中你可能有工程部,銷(xiāo)售,銷(xiāo)售員,和支持組織單元。和域一樣,組織單元能被領(lǐng)導(dǎo)層組織。例如,你的銷(xiāo)售組織單元可以有打印機(jī)銷(xiāo)售和計(jì)算機(jī)銷(xiāo)售組織單元。</p><p

42、>  要點(diǎn):在Windows NT 中,你經(jīng)常創(chuàng)建額外的域來(lái)產(chǎn)生清楚地隔離在用戶,計(jì)算機(jī),資源或者管理者代表權(quán)限之間,同時(shí)限制管理訪問(wèn)。你可以使用活動(dòng)目錄組織單元達(dá)成相似的目的——不需要建立額外的(和更復(fù)雜的)域結(jié)構(gòu)。另一個(gè)在NT中創(chuàng)建額外的域是為了減少網(wǎng)段之間的流量,這也是活動(dòng)目錄站點(diǎn)的描述。你可以使用單元來(lái)增加網(wǎng)段間更好的通信控制。</p><p>  應(yīng)用Active Directory結(jié)構(gòu)的繼承&l

43、t;/p><p>  當(dāng)你使本地計(jì)算機(jī)包含我們已經(jīng)討論過(guò)的基本結(jié)構(gòu),一個(gè)典型的活動(dòng)目錄網(wǎng)絡(luò)有四個(gè)明確的等級(jí):</p><p><b>  ■ 本地計(jì)算機(jī)</b></p><p><b>  ■ 站點(diǎn)</b></p><p><b>  ■ 域</b></p><

44、p><b>  ■ 組織單元</b></p><p>  當(dāng)組策略被設(shè)置在本地計(jì)算機(jī)等級(jí),每一個(gè)登錄到本地機(jī)器上的人受策略設(shè)置的影響(本地組策略)?;谟虻慕M策略被設(shè)置在真正的目錄結(jié)構(gòu)上,基于域的策略設(shè)置被應(yīng)用在這些基本命令中:站點(diǎn),域,組織單元。</p><p>  這個(gè)結(jié)構(gòu)被認(rèn)為有四個(gè)等級(jí)。最高等級(jí)是本地組策略,第二個(gè)等級(jí)是單元,第三級(jí)是域,第四級(jí)是組織單元

45、。</p><p>  組織單位可以相互嵌套,所以你可以根據(jù)需要?jiǎng)?chuàng)建額外的等級(jí)結(jié)構(gòu)。默認(rèn)地,當(dāng)策略被設(shè)置在一個(gè)等級(jí),設(shè)置應(yīng)用到那一級(jí)的所有對(duì)象和這一級(jí)以下的所有對(duì)象,通過(guò)繼承。</p><p>  策略設(shè)置繼承工作如下(除非繼承被阻塞):</p><p>  ■ 如果策略設(shè)置被應(yīng)用在單元等級(jí),你影響域和組織單元確定的單元部分中所有的用戶和計(jì)算機(jī)。例如,如果主要的單元

46、包含tech.cpandl.com和sales.cpandl.com域,所有被應(yīng)用到單元的設(shè)置將會(huì)影響兩個(gè)域中的對(duì)象。</p><p>  ■ 如果一個(gè)策略設(shè)置被應(yīng)用在域等級(jí),它影響組織單元確定的為域部分中的所有用戶和計(jì)算機(jī)。例如,如果tech.cpandl.com 包含Engineering和IT組織單元,所有被應(yīng)用到tech.cpandl.com域中的設(shè)置將會(huì)影響Engineering和IT組織單元中的對(duì)象。

47、</p><p>  ■ 如果一個(gè)策略設(shè)置被應(yīng)用在組織單元等級(jí),它影響組織單元和低于他的組織單元(子組織單元)確定的所有用戶和計(jì)算機(jī)。例如,如果Engineering 組織單元包含WebTeam和 DevTeam子組織單元,所有應(yīng)用到Engineering 組織單元的設(shè)置將會(huì)影響ebTeam和 DevTeam組織單元。 </p><p>  Authors:Darren Mar-Elia,

48、 Derek Melber, William R. StanekThePublisher: Microsoft PressPublished: 2005-05-25Chapter:Chapter 1,Page 3 To 12</p><p>  Overview of Group Policy</p><p>  In this chapter, we will introduce

49、Group Policy. You’ll learn what Group Policy does,</p><p>  how it can be used in both domain and workgroup settings, and what infrastructure</p><p>  is required to implement it. If you’re runn

50、ing an Active Directorynetwork environment, you need Group Policy. Period. There’s no doubt, no question</p><p>  at all. Your only real question should be how to make the most of what Group Policy</p>

51、<p>  has to offer, given your organization’s structure and needs. Why? Because Group</p><p>  Policy is meant to make your life as an administrator easier. Microsoft coined the term</p><p&

52、gt;  Group Policy to describe the technology that allows you to group policy settings</p><p>  together and apply them in discrete sets. Group Policy is, in fact, a collection of policy</p><p> 

53、 settings that simplify administration of common and repetitive tasks as well as unique</p><p>  tasks that are difficult to implement manually but can be automated (such as deploying new software or enforci

54、ng which programs can be installed on computers).</p><p>  Related Information</p><p>  ■ For information about DNS architecture, see Chapter 26 in Microsoft Windows</p><p>  Server

55、 2003 Inside Out (Microsoft Press, 2004).</p><p>  ■ For information about Active Directory architecture, see Chapter 32 in Microsoft</p><p>  Windows Server 2003 Inside Out.</p><p>

56、;  ■ For information on deploying Group Policy, see Chapter 4 in this book.</p><p>  Understanding Group Policy</p><p>  Group Policy provides a convenient and effective way to manage computer a

57、nd user</p><p><b>  settings.</b></p><p>  What It Does</p><p>  With Group Policy, you can manage settings for thousands of users or computers in</p><p>  

58、the same way that you manage settings for one user or computer—and without ever</p><p>  leaving your desk. To do this, you use one of several management tools to change a</p><p>  setting to a

59、desired value, and this change is applied throughout the network to a</p><p>  desired subset of users or computers or to any individual user or computer.</p><p>  One way to think of Group Poli

60、cy is as a set of rules that you can apply to help you</p><p>  manage users and computers. Despite common misperceptions, Group Policy does</p><p>  this in a way that is more intuitive than wa

61、s previously possible. Still a nonbeliever?</p><p>  Consider for a moment that before Group Policy, many of the administrative changes</p><p>  that Group Policy enables were possible only by h

62、acking the Windows registry, and</p><p>  each change had to be made individually on each target computer. Time consuming,</p><p>  tricky to implement, prone to disastrous results? You betcha.&

63、lt;/p><p>  Enter Group Policy, whereby you can simply enable or disable a policy to tweak a</p><p>  registry value or other setting, and the change will apply automatically to every computer you

64、designate the next time Group Policy is refreshed. Because changes can be modeled (through the Group Policy Management Console) before the modifications are applied, you can be certain of the effect of each desired chang

65、e. Plus, if you don’t like the results, you can undo a change by setting the policy back to its original or Not Configured state.</p><p>  To take this scenario a step further, consider the case in which you

66、’ve manually</p><p>  tweaked multiple Microsoftand you start to have problems. Maybe users can’t log on, they can’t perform necessary actions, or computers aren’t responding normally. If you documented ever

67、y</p><p>  change on every computer, you might be able to undo the changes—if you are lucky</p><p>  and if you properly documented the original settings as well as the changes. In contrast,Grou

68、p Policy allows you to back up (“save”) the state of Group Policy before</p><p>  making changes. If something goes wrong, you can restore Group Policy to its original state. When you restore the state of Gr

69、oup Policy, you can be certain that all changes are undone with the next Group Policy refresh.</p><p>  How It Works</p><p>  Speaking of Group Policy refresh, you are probably wondering what th

70、is term</p><p>  means. While the nitty-gritty details are covered in Chapter 2, the basics of group</p><p>  policy application (initial processing) and refresh (subsequent processing) are</

71、p><p>  straightforward. In Active Directory, two distinct sets of policies are defined:</p><p>  ■ Computer policies These apply to computers and are stored under Computer</p><p>  Co

72、nfiguration in Group Policy.</p><p>  ■ User policies These apply to users and are stored under User Configuration in</p><p>  Group Policy.</p><p>  Initial processing of the relat

73、ed policies is triggered by two unique events:</p><p>  ■ Processing of computer policies is triggered when a computer is started. When</p><p>  a computer is started and the network connection

74、is initialized, computer policy</p><p>  settings are applied and a history of the registry-based settings that were applied</p><p>  is written to %AllUsersProfile%\Ntuser.pol.</p><p

75、>  ■ Processing of user policies is triggered when a user logs on to a computer. When</p><p>  a user logs on to a computer, user policy settings are applied and a history of the</p><p>  reg

76、istry-based settings that were applied is written to %UserProfile%\Ntuser.pol.</p><p>  Once applied, Group Policy settings are automatically refreshed to keep settings current and to reflect any changes tha

77、t might have been made. By default, Group Policy on domain controllers is refreshed every 5 minutes. For workstations and other types of servers, Group Policy is refreshed every 90 to 120 minutes by default. In addition,

78、Group Policy is refreshed every 16 hours regardless of whether or not any policy settings have changed in the intervening time.</p><p>  Note Officially, the default Group Policy refresh interval on workstat

79、ions and member servers is every 90 minutes, but a delay of up to 30 minutes is added to avoid flooding domain controllers with multiple simultaneous refresh requests. This effectively makes the default refresh window fr

80、om 90 to 120 minutes.</p><p>  Tip Other factors can affect Group Policy refresh, including how slow link detection</p><p>  is defined (per the Group Policy Slow Link Detection Policy under Com

81、puter Configuration\Administrative Templates\System\Group Policy) and policy processing settings for policies under Computer Configuration\Administrative Templates\System\Group Policy. You can check the last refresh of G

82、roup Policy using the Group Policy Management Console (GPMC). (See the section titled “Determining Policy Settings and Last Refresh” in Chapter 3.)</p><p>  Using and Implementing Group Policy</p><

83、;p>  Group Policy is so important to a successful Active Directory implementation that</p><p>  most administrators think of it as a component of Active Directory. This is mostly</p><p>  tru

84、e—and it is okay to think of it this way—but you don’t necessarily need Active</p><p>  Directory to use Group Policy.</p><p>  Using Group Policy in Workgroups and Domains</p><p> 

85、 You can use Group Policy to manage workstations running Microsoft Windows 2000</p><p>  and Windows XP Professional as well as servers running Windows 2000 and Windows Server? 2003. While you can’t use Grou

86、p Policy to manage Windows NT® workstations or servers, Windows 95, Windows 98, Windows Millennium Edition(Me), or Windows XP Home Edition, you can use Group Policy in both enterprise (domain) and local (workgroup)

87、environments.</p><p>  For enterprise environments where Active Directory is deployed, the complete set of</p><p>  policy settings is available. This policy set is referred to as domain-based G

88、roup Policy,Active Directory–based Group Policy, or simply Group Policy. In Active Directory, two important related elements are sites and organizational units (OUs). A site represents the physical architecture of your n

89、etwork. It is a group of TCP/IP subnets that are implemented to control directory replication traffic and isolate logon authentication traffic between physical network locations. OUs are used to group o</p><p&

90、gt;  Working with Group Policy Objects</p><p>  Group Policy is applied in discrete sets, referred to as Group Policy Objects (GPOs).</p><p>  GPOs contain settings that can be applied in a vari

91、ety of ways to computers and users in a specific Active Directory domain, site, or OU. Because of the object-based hierarchy in Active Directory, the settings of top-level GPOs can also be inherited by lower-level GPOs.&

92、lt;/p><p>  For example, a setting for the cpandl.com domain can be inherited by the Engineering</p><p>  OU within that domain, and the domain settings will be applied to users and computers in th

93、e Engineering OU. If you don’t want policy settings to be inherited, you can block these settings to ensure that only the GPO settings for the low-level GPO are applied.</p><p>  For local environments, a su

94、bset of Group Policy called Local Group Policy is available.As the name implies, Local Group Policy allows you to manage policy settings that affect everyone who logs on to a local machine. This means Local Group Policy

95、applies to any user or administrator who logs on to a computer that is a member of a workgroup as well as any user or administrator who logs on locally to a computer that is a member of a domain. Because Local Group Poli

96、cy is a subset of Group Policy, </p><p>  Beyond these fundamental differences between Local Group Policy and Active</p><p>  Directory–based Group Policy, both types of policy are managed in mu

97、ch the same</p><p>  way. In fact, you use the same tools to manage both. The key difference is in the GPO</p><p>  you work with. On a local machine, you work exclusively with the LGPO. If you

98、have</p><p>  deployed Active Directory, however, you can also work with domain, site, and OU</p><p>  GPOs in addition to LGPOs.</p><p>  Getting Started with Group Policy</p>

99、;<p>  So far we’ve discussed what group policy does, how it works, and how to use it, but we haven’t discussed the specific ways in which it can help you better manage your network.</p><p>  Understa

100、nding Group Policy Settings and Options</p><p>  First of all, Group Policy might not be what you think it is. If you are moving from</p><p>  Windows NT 4.0 environments to Windows Server 2003

101、environments, you should</p><p>  know right up front that Group Policy is not the same as Windows NT System Policy.</p><p>  Windows NT System Policy is very limited and quite frankly not even

102、on the same</p><p>  playing field as Group Policy. If you have worked with Windows 2000 or later versions of the Windows operating system, you might have already seen some of what Group Policy can do and no

103、t realized it, or you might have heard someone incorrectly</p><p>  blame Group Policy for his woes.</p><p>  The simple truth is that Group Policy does what you tell it to do. You manage Group&

104、lt;/p><p>  Policy by configuring policy settings. A policy setting is an individual setting that you</p><p>  apply, such as restricting access to the Run dialog box. Most policy settings have thr

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論