一、引言

    組策略（Group Policy，簡稱GP）是系統(tǒng)管理員為計(jì)算機(jī)和用戶定義的，用來控制應(yīng)用程序、系統(tǒng)設(shè)置和管理模板的一種機(jī)制，也是一種用于管理網(wǎng)絡(luò)內(nèi)用戶設(shè)置和計(jì)算機(jī)設(shè)置的管理工具。組策略包括影響計(jì)算機(jī)的“計(jì)算機(jī)配置”策略設(shè)置和影響用戶的“用戶配置”策略設(shè)置。本文將介紹如何配置和部署組策略。

二、準(zhǔn)備工作

    （一）檢查網(wǎng)卡配置，是否為橋接（Bridged）。橋接網(wǎng)卡可以實(shí)現(xiàn)虛擬機(jī)所使用的網(wǎng)卡為真實(shí)存在的物理適配卡。直接點(diǎn)擊菜單欄“VM”，在下拉菜單中選擇“Setting”打開的窗口中選擇“Network adapt”，在右邊窗格中選擇“Bridged”。

    （二）設(shè)置虛擬機(jī)IP地址，采用靜態(tài)的IP地址。將虛擬機(jī)的Windows Server 2008 Active Directory域控制作為服務(wù)器，服務(wù)器需要有靜態(tài)的IP地址。打開“控制面板”，選擇“網(wǎng)絡(luò)和共享中心”，右擊打開的菜單中選擇“打開”，選擇“本地連接的查看狀態(tài)”，在打開的窗口中選擇“屬性”，在窗格中選中“Internet協(xié)議版本4（TCP/IPv4）”，點(diǎn)擊“屬性”，打開的窗口中選擇“使用下面的IP地址”，例如IP地址：192.168.0.1，子網(wǎng)掩碼：255.255.255.0。

    （三）安裝Active Directory域服務(wù)。點(diǎn)擊“開始”，打開的菜單中選擇“管理工具”，在菜單中選擇“服務(wù)器管理器”，在右邊窗格中選擇“添加角色”，對窗格中的“Active Directory域服務(wù)”打勾，直接按照每一步默認(rèn)操作安裝Active Directory域服務(wù)。

三、部署組策略

    （一）配置Active Directory域控制器。點(diǎn)擊“開始”，在搜索窗中輸入“dcpromo”。在彈出安裝向?qū)Ш�，�?ldquo;選擇某一部署配置”中選擇“在新林中新建域”，點(diǎn)擊下一步，在“命名林根域”中輸入域名，例如“corp.com”，點(diǎn)擊下一步，在“設(shè)置林功能級別”和“設(shè)置域功能級別”中，按照默認(rèn)點(diǎn)擊下一步，“數(shù)據(jù)庫、日志文件和SYSVOL的位置”可以更改文件存放的目錄，不更改的話，可按照默認(rèn)，點(diǎn)擊下一步，“目錄服務(wù)還原模式的Administrator密碼”，此密碼必須滿足復(fù)雜性的要求，密碼應(yīng)該包括字母大小寫、數(shù)字和特殊符號，設(shè)置完密碼后單擊下一步，在彈出的警告窗口中，單擊“是”，按下一步完成Active Directory域控制器配置。

    （二）創(chuàng)建Active Directory域組策略對象。選中域名(如corp.com)，右擊，在彈出的菜單中選擇“在這個域中創(chuàng)建GPO并在此處鏈接”，彈出的對話框中名稱用“域組策略對象”命名，單擊“確定”。Active Directory域組策略的應(yīng)用對象是連接到域的所有計(jì)算機(jī)和域中的所有用戶。

    （三）配置域組策略對象。新創(chuàng)建的策略在默認(rèn)情況下沒有進(jìn)行任何配置，通過編輯組策略可以實(shí)現(xiàn)某些功能及保證安全。下面以編輯新建的策略為例介紹如何配置組策略。選擇“域組策略對象”，右擊，在菜單中選擇“編輯”，則進(jìn)入“組策略管理編輯器”窗口。在該窗口中，根據(jù)需要對組策略進(jìn)行編輯即可。

    1.部署帳戶策略。賬戶策略包括密碼策略、帳戶鎖定策略、Kerberos策略。密碼策略滿足高安全性環(huán)境中對密碼的要求。賬戶鎖定策略可以鎖定相應(yīng)賬戶。Kerberos策略用于域用戶的賬戶

    （1）密碼策略。在“組策略管理編輯器”窗口，依次展開“計(jì)算機(jī)配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“帳戶策略”→“密碼策略”，右邊窗格中選擇“密碼必須符合復(fù)雜性要求”，右擊，在菜單中選擇“屬性”，將“定義這個策略設(shè)置”打勾，并選擇“已啟用”，單擊確定。同樣采用右擊，在菜單中選擇“屬性”的方法，分別設(shè)置“密碼長度最小值為6個字符”、“密碼最短使用期限為7天”、“密碼最長使用期限為30天”、“強(qiáng)制密碼歷史為3個記住的密碼”、“用可還原的加密來儲存密碼設(shè)置為已啟用”。

    （2）帳戶鎖定策略。在“組策略管理編輯器”窗口，依次展開“計(jì)算機(jī)配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“帳戶策略”→“帳戶鎖定策略”，右邊窗格中選擇“復(fù)位帳戶鎖定計(jì)算機(jī)器”，右擊，在菜單中選擇“屬性”，將“定義這個策略設(shè)置”打勾，并設(shè)置“在30分鐘之后復(fù)位帳戶鎖定計(jì)數(shù)器”，單擊確定。同樣采用右擊，在菜單中選擇“屬性”的方法，分別設(shè)置“帳戶鎖定時間為30分鐘”、“帳戶鎖定閾值為3次無效登錄”。

    （3）Kerberos策略。在“組策略管理編輯器”窗口，依次展開“計(jì)算機(jī)配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“帳戶策略”→“Kerberos策略”，右邊窗格中選擇“服務(wù)票證最長壽命”，右擊，在菜單中選擇“屬性”，將“定義這個策略設(shè)置”打勾，并設(shè)置“票證過期時間為600分鐘”，單擊確定。同樣采用右擊，在菜單中選擇“屬性”的方法，分別設(shè)置“用戶票證續(xù)訂最長壽命為34天”、“用戶票證最長壽命為10個小時”。

    2.部署審核策略。在“組策略管理編輯器”窗口，依次展開“計(jì)算機(jī)配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”，右邊窗格中選擇“審核策略更改”，右擊，在菜單中選擇“屬性”，將“定義這些策略設(shè)置”打勾，并將“審核這些操作成功選項(xiàng)”打勾，單擊確定。同樣采用右擊，在菜單中選擇“屬性”的方法，分別設(shè)置“用戶票證續(xù)訂最長壽命為34天”、“用戶票證最長壽命為10個小時”。

四、結(jié)束語

    組策略將系統(tǒng)重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的，利用組策略，管理可有效地實(shí)施安全設(shè)置，強(qiáng)制實(shí)施IT策略，通過組策略管理控制臺統(tǒng)一管理，提高管理員的工作效率。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：淺談WindowsServer2008活動目錄的組策略部署

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/1083949930.html