組策略用於從一個單獨的點對多個Microsoft Active Directory目錄服務使用者和電腦對象進行配置。在預設情況下,策略不僅影響應用該策略的容器中的對象,還影響子容器中的對象。
組策略包含了"電腦配置、Windows 設定、安全設定"下的安全設定。您可將預先配置的安全模板匯入策略,來完成對這些設定的配置。
應用組策略
下列步驟顯示了如何應用組策略,以及如何向"使用者權限分配"添加安全性群組。
將組策略應用於組織單位或域
1.依次單擊"開始"、"管理工具"、"Active Directory 使用者和電腦",開啟"Active Directory 使用者和電腦"。
2.反白相關域或組織單位,單擊"操作"菜單,選擇"屬性"。
3.選擇"組策略"選項卡。
注意:每個容器可應用多個策略。這些策略的處理順序是從列表的底部向上。如果出現衝突,最後應用的策略優先。
4.單擊"建立"建立一個策略,並為其指定有實際意義的名稱,如"域策略"。
注意:單擊"選項"按鈕可配置"禁止替代"設定。"禁止替代"是為每個單獨的策略配置的,而不是為整個容器;"阻止策略繼承"則是為整個容器配置的。如果"禁止替代"和"阻止策略繼承"設定發生衝突,"禁止替代"設定優先。要配置"阻止策略繼承",請選中 OU 屬性中的複選框。
組策略可自動更新,但為了立即啟動更新過程,可在命令提示字元下使用下面的 GPUpdate 命令:GPUpdate /force
向"使用者權限分配"添加安全性群組
1.依次單擊"開始"、"管理工具"、"Active Directory 使用者和電腦",開啟"Active Directory 使用者和電腦"。
2.反白相關 OU(如"成員伺服器"),單擊"操作"菜單,選擇"屬性"。
3.單擊"組策略"選項卡,選擇相關策略(如"成員伺服器基準策略"),然後單擊"編輯"。
4.在"群組原則物件編輯器"中,依次展開"電腦配置"、"Windows 設定"、"安全設定"、"本地策略",然後反白"使用者權限分配"。
5.在右側邊窗格中,按右鍵相關使用者權限。
6.選中"定義這些原則設定"複選框,單擊"添加使用者和組"修改該列表。
7.單擊"確定"。
將安全模板匯入組策略
下列步驟顯示了如何向組策略匯入安全模板。
匯入安全模板
1.依次單擊"開始"、"管理工具"、"Active Directory 使用者和電腦",開啟"Active Directory 使用者和電腦"。
2.反白相關域或 OU,單擊"操作"菜單,選擇"屬性"。
3.選擇"組策略"選項卡。
4.反白相關策略,單擊"編輯"。
5.依次展開"電腦配置"、"Windows 設定",然後反白"安全設定"。
6.單擊"操作"菜單,選擇"匯入策略"。
7.導航到 \Security Guide\Job Aids,選擇相關模板,單擊"開啟"。
8.在"群組原則物件編輯器"中,單擊"檔案"菜單,選擇"退出"。
9.在容器屬性中,單擊"確定"。
使用"安全配置和分析"
下列步驟顯示了如何使用"安全配置和分析"來匯入、分析和應用安全模板。
匯入安全模板
1.依次單擊"開始"、"運行"。在"開啟"文字框中鍵入 mmc,然後單擊"確定"。
2.在 Microsoft 管理主控台中,單擊"檔案",選擇"添加/刪除嵌入式管理單元"。
3.單擊"添加",反白列表中的"安全配置和分析"。
4.依次單擊"添加"、"關閉"、"確定"。
5.反白"安全配置和分析",單擊"操作"菜單,選擇"開啟資料庫"。
6.鍵入新的資料庫名稱(如 Bastion Host),單擊"開啟"。
7.在"匯入模板"介面中,導航到 \Security Guide\Job Aids,選擇相關模板。單擊"開啟"。
分析匯入的模板並與當前設定比較
1.反白 Microsoft 嵌入式管理單元中的"安全配置和分析",單擊"操作"菜單,並選擇"立即分析電腦"。
2.單擊"確定",接受預設的"錯誤記錄檔檔案路徑"。
3.完成分析後,展開節點標題對結果進行研究。
應用安全模板
1.反白 Microsoft 嵌入式管理單元中的"安全配置和分析",單擊"操作"菜單,選擇"立即配置電腦"。
2.單擊"確定",接受預設的"錯誤記錄檔檔案路徑"。
3.在 Microsoft 管理主控台,單擊"檔案",然後選擇"退出"關閉"安全配置和分析"。