windows server 2008域環(huán)境下組策略兩例應(yīng)用

1、WindowsWindowsServerServer20082008域環(huán)境下組策略兩例應(yīng)用域環(huán)境下組策略兩例應(yīng)用閱讀：44次時(shí)間：2011070118:27:11字體：[大中小]作為微軟最新的服務(wù)器平臺(tái)，WindowsServer2008確實(shí)強(qiáng)大?；赟erver2008D的AD功能更強(qiáng)勁，管理更加細(xì)化，特別是在組策略方面有了不少改進(jìn)。比如，筆者將要和大家分享的這兩例應(yīng)用，在實(shí)踐中就能幫你解決很多難題。使用過Vista的用戶應(yīng)該知道，通

2、過組策略可以在本地主機(jī)實(shí)現(xiàn)對(duì)移動(dòng)磁盤(USB存儲(chǔ)設(shè)備光驅(qū)移動(dòng)硬盤)的權(quán)限管理。如果要統(tǒng)一實(shí)現(xiàn)對(duì)所有客戶端(Vista或非Vista)的移動(dòng)設(shè)備的權(quán)限管理，該怎么辦呢在WindowsServer2008的域環(huán)境下，這一切輕松實(shí)現(xiàn)。首先將Server2008配置成AC(域控制器)，并將所有的客戶端加入該域，然后只需在Server2008上進(jìn)行如下部署即可。依次執(zhí)行“開始→管理工具→組策略管理”打開組策略管理器找到需要部署該策略的域(本例為f

3、r.)，展開后定位到DefaultDomainPolicy(默認(rèn)策略)右鍵點(diǎn)擊該策略選擇“編輯”打開“組策略管理編輯器”，依次展開“計(jì)算機(jī)配置→管理模板→系統(tǒng)→可移動(dòng)存儲(chǔ)訪問”在右側(cè)找到“可移動(dòng)磁盤：拒絕讀取權(quán)限”和“可移動(dòng)磁盤：拒絕寫入權(quán)限”兩項(xiàng)，雙擊啟用策略。最后打開命令行工具(cmd)，輸入命令“gpupdatefce”更新組策略，使剛才的策略生效，這樣默認(rèn)情況下只有域管理員有權(quán)限讀寫移動(dòng)磁盤。(圖1)2、自由定制針對(duì)用戶或者用戶

4、組的密碼策略和帳戶鎖定策略、自由定制針對(duì)用戶或者用戶組的密碼策略和帳戶鎖定策略密碼是系統(tǒng)安全一道關(guān)鍵屏障，大家知道在在Windows20002003上，密碼策略只能指派到域(Site)上，不能單獨(dú)應(yīng)用于活動(dòng)目錄中的具體對(duì)象。這在實(shí)際應(yīng)用中帶來了諸多不便，更多情況下我們需要為不同組的用戶部署不同的密碼策略和帳戶策略。在Win2008中引入了多元密碼策略的技術(shù)，使得我們的上述需求得到實(shí)現(xiàn)。還是在AC中(以fr.com域?yàn)槔?，“開始→運(yùn)行”

5、輸入ADSIEdit打開ADSI編輯器。依次展開“默認(rèn)命名上下文[WIN13VNNRJ6FIP.fr.]→DC=frDC=zhongtianDC=com→CN=SystemSystem”定位到CN=PasswdPasswdSettingsContainerContainer然后在該節(jié)點(diǎn)上單擊右鍵選擇“新建→對(duì)象”在彈出的對(duì)話框中選中“msDSPasswdSettings”類別，單擊“下一步”在cn屬性對(duì)話框中輸入“值”為“frpso”(

6、任意)。然后一路“下一步”依據(jù)向?qū)нM(jìn)行密碼策略的定制。其具體的設(shè)置項(xiàng)、含義和值分別為：(1).msDSPasswdSettingsPrecedence，設(shè)置密碼策略的優(yōu)先級(jí)，數(shù)值越小優(yōu)先級(jí)越高，設(shè)置為“10”(2).msDSPasswdReversibleEncryptionEnabled，設(shè)置是否啟用“用可還原的加密來存儲(chǔ)密碼”策略，其值是個(gè)布爾值，可選擇FALSE或者TRUE，在此我們?cè)O(shè)置為“FALSE”(3).msDSPasswd