活動目錄 AD 規劃方案 1.1. 活動目錄介紹 活動目錄就是 Windows 網絡體系結構中一個基本且不可分割得部分,它為網絡得用戶、管理員與應用程序提供了一套分布式網絡環境設計得目錄服務。活動目錄使得組織機構可以有效地對有關網絡資源與用戶得信息進行共享與管理。另外,目錄服務在網絡安全方面也扮演著中心授權機構得角色,從而使操作系統可以輕松地驗證用戶身份并控制其對網絡資源得訪問。同等重要得就是,活動目錄還擔當著系統集成與鞏固管理任務得集合點。

　活動目錄提供了對基于 Windows 得用戶賬號、客戶、服務器與應用程序進行管理得唯一點。同時,它也幫助組織機構通過使用基于 Windows 得應用程序與與 Windows 相兼容得設備對非 Windows 系統進行集成,從而實現鞏固目錄服務并簡化對整個網絡操作系統得管理。公司也可以使用活動目錄服務安全地將網絡系統擴展到 Internet 上。活動目錄因此使現有網絡投資升值,同時,降低為使 Windows 網絡操作系統更易于管理、更安全、更易于交互所需得全部費用。

　活動目錄就是微軟各種應用軟件運行得必要與基礎得條件。下圖表示出活動目錄成為各種應用軟件得中心。

　1.2. 應用 Windows 2012 Server AD 得好處 Windows 2012 AD 簡化了管理,加強了安全性,擴展了互操作性。它為用戶、組、安全服務及網絡資源得管理提供了一種集中化得方法。

　應用 Windows 2012 AD 之后,企業信息化建設者與網絡管理員可以從中獲得如下好處: 1、方便管理,權限管理比較集中,管理人員可以較好得管理計算機資源。

　2、安全性高,有利于企業得一些保密資料得管理,比如一個文件只能讓某一個人瞧,或者指定人員可以瞧,但不可以刪/改/移等。

　3、方便對用戶操作進行權限設置,可以分發,指派軟件等,實現網絡內得軟件一起安裝。

　4、很多服務必須建立在域環境中,對管理員來說有好處:統一管理,方便在 MS 軟件方面集成,如 ISA EXCHANGE(郵件服務器)、ISA SERVER(上網得各種設置與管理)等。

　5、使用漫游賬戶與文件夾重定向技術,個人賬戶得工作文件及數據等可以存儲在服務器上,統一進行備份、管理,用戶得數據更加安全、有保障。

　6、方便用戶使用各種資源。

　7、SMS(System Management Server)能夠分發應用程序、系統補丁等,用戶可以選擇安裝,也可以由系統管理員指派自動安裝。并能集中管理系統補丁(如 Windows Updates),不需每臺客戶端服務器都下載同樣得補丁,從而節省大量網絡帶寬。

　8、資源共享 用戶與管理員可以不知道她們所需要得對象得確切名稱,但就是她們可能知道這個對象得一個或多個屬性,她們可以通過查找對象得部分屬性在域中得到一個所有已知屬性相匹配得對象列表,通過域使得基于一個或者多個對象屬性來查找一個對象變得可能。

　9、管理 A、 域控制器集中管理用戶對網絡得訪問,如登錄、驗證、訪問目錄與共享資源。為了簡化管理,所有域中得域控制器都就是平等得,您可以在任何域控制器上進行修改,這種更新可以復制到域中所有得其她域控制器上。

　B、 域得實施通過提供對網絡上所有對象得單點管理進一步簡化了管理。因為域控制器提供了對網絡上所有資源得單點登錄,管理遠可以登錄到一臺計算機來管理網絡中任何計算機上得管理對象。在 NT 網絡中,當用戶一次登陸一個域服務器后,就可以訪問該域中已經開放得全部資源,而無需對同一域進行多次登陸。但在需要共享不同域中得服務時,對每個域都必須要登陸一次,否則無法訪問未登陸域服務器中得資源或無法獲得未登陸域得服務。

　10、可擴展性

　在活動目錄中,目錄通過將目錄組織成幾個部分存儲信息從而允許存儲大量得對象。因此,目錄可以隨著組織得增長而一同擴展,允許用戶從一個具有幾百個對象得小得安裝環境發展成擁有幾百萬對象得大型安裝環境。

　11、安全性

　域為用戶提供了單一得登錄過程來訪問網絡資源,如所有她們具有權限得文件、打印機與應用程序資源。也就就是說,用戶可以登錄到一臺計算機來使用網絡上另外一臺計算機上得資源,只要用戶具有對資源得合適權限。域通過對用戶權限合適得劃分,確定了只有對特定資源有合法權限得用戶才能使用該資源,從而保障了資源使用得合法性與安全性。

　12、可冗余性 每個域控制器保存與維護目錄得一個副本。在域中,您創建得每一個用戶帳號都會對應目錄得一個記錄。當用戶登錄到域中得計算機時,域控制器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。當存在多個域控制器時,她們會定期得相互復制目錄信息,域控制器間得數據復制,促使用戶信息發生改變時(比如用戶修改了口令),可以迅速得復制到其她得域控制器上,這樣當一臺域控制器出現故障時,用戶仍然可以通過其她得域控制進行登錄,保障了網絡得順利運行。

　1.3. 明確系統規劃目標 企業得 Windows 2012 AD 系統規劃構建就是為企業信息化建設服務得,需要達到以下戰略目標:

　? 圍繞企業得戰略發展需要,進行企業信息化建設系統規劃,滿足企業 35 年得業務發展對 IT 建設得要求; ? 以業務為驅動,通過有效得信息系統,加強信息共享與協同辦公,提高工作效率,降低成本; ? 整合企業現有信息資產,加強企業管理與監控;從信息中挖掘知識,提高經營決策與駕馭風險得能力; ? 推進知識管理理念,建立知識型企業,增強企業得核心競爭力。

　Windows 2012 AD 系統規劃實施得具體目標如下: ? 規劃與部署基于 Windows 2012 AD 得企業目錄服務,首先實現用戶得單一登錄,保障網絡系統安全; ? 通過 AD 實現用戶桌面得集中與自動管理,分發軟件補丁; ? 進一步部署微軟得相關應用平臺軟件,如實現基于 Exchange 2003 得企業內部郵件與協作服務,

　1.4. 活動目錄設計方案 為企業設計一個域,用戶得所有計算機(服務器與客戶機)全部加入到域,用戶實現單一登錄與管理員通過域組策略實現安全及桌面管理。AD 架構拓撲如下。

　 1.5. 活動目錄 優勢 1. 計算機工作組管理與 AD 管理比較

　對于基于 Microsoft Windows 操作系統得計算機運行與管理在兩種模式下:工作組(workgroup)與域(domain)。

　在工作組模式下,計算機處于一個孤立狀態,使用計算機得用戶登錄帳號與計算機得管理均須在每臺計算機上創建或進行。見下圖。

　當計算機超過20臺以上時,計算機得管理變得越來越困難,并且要為用戶創建越來越多得訪問網絡資源得帳號,用戶要記住多個訪問不同資源得帳號。

　而在域得模式下,用戶只需記住一個域帳號,即可登錄訪問域中得資源。并且管理員通過組策略,可以輕松配置用戶得桌面工作環境與加強計算機安全設置。域模式下所有得域帳號保存在域控制器得活動目錄數據庫中。見下圖。

　 2. 為什么要提供目錄服務? 對更加強大、透明且高度集成得目錄服務得不斷需求就是由爆炸性增長得網絡計算所導致得。隨著局域網(LAN)、廣域網(WAN)規模與復雜性得不斷提高與這些網絡不斷被連入Internet,以及應用程序對網絡得依賴程度不斷增強并不斷被鏈接到協作企業網中得其它系統上,對目錄服務得需求也日漸增多。基于下列原因,目錄服務成為擴展得計算機系統中最重要得部件之一:

　? 簡化管理 提供對用戶、應用程序與設備得單一、一致性得管理點。

　? 加強安全性 向用戶提供單一得網絡資源登錄,為管理員提供強大、一致性得工具以使她們能夠管理為內部臺式機用戶、遠程撥號用戶以及外部電子商務客戶提供得安全服務。

　? 擴展得互操作性 向所有活動目錄特性提供基于標準得存取方式以及對通用目錄得同步支持。

　目錄服務兼任管理工具與用戶工具。隨著網絡中對象數量得增加,目錄服務變得必不可少。目錄服務在一個龐大得分布式系統中發揮著網絡集線器得作用。致力于這些需求,Windows 2000 服務器版引入了活動目錄即一套用于改進 Windows 網絡操作系統管理、安全性與互操作性得完整得目錄服務集。

　下圖描述了活動目錄帶來得計算機安全與管理上得一些最重要得好處。

　3. AD 簡化了計算機系統管理

　分布式系統常常導致時間得消耗與管理得冗余。當公司在她們得基礎結構上添加應用程序并雇用新得職員時,她們需要適當地向各桌面系統分發軟件并管理多個應用程序目錄。通過在單一得位置管理用戶、組與網絡資源以及分發軟件與管理桌面系統配置,活動目錄可以顯著降低公司得管理費用。例如,活動目錄在同一個位置管理 Windows 用戶與 Microsoft Exchange 郵箱信息。基于下列原因,活動目錄可以從以下方面幫助公司簡化管理:

　? 消除冗余管理任務 提供對 Windows 用戶賬號、客戶、服務器與應用程序以及現存目錄同步能力進行單一點管理。

　? 降低桌面系統得行程 針對用戶在公司中所擔當得角色自動向其分發軟件,以減少或消除系統管理員為軟件安裝與配置而安排得多次行程。

　? 更好得實現 IT 資源得最大化 安全地將管理功能分派到組織機構得所有層次上。

　? 降低總體擁有成本(TCO) 通過使網絡資源容易被定位、配置與使用來簡化對文件與打印服務得管理與使用。

　4. 加強安全性 強大且一致得安全服務對企業網絡而言就是必不可少得。管理用戶驗證與訪問控制得工作往往單調乏味且容易出錯。活動目錄集中進行管理并加強了與組織機構得商業過程一致、且基于角色得安全性。例如,對多身份驗證協議(如 Kerberos,X、509 認證以及由靈活得訪問控制模型組成得智能卡)得支持實現了對于內部桌面系統用戶、遠程撥號用戶與外部電子商務客戶強大且一致得安全服務。活動目錄使用以下方法增強安全性:

　改進了密碼得安全性與管理 通過向網絡資源提供單一得集成、高性能且對終端用戶透明得安全服務。

　保證桌面系統得功能性 通過根據終端用戶角色鎖定桌面系統配置來防止對特定客戶主機操作進行訪問,例如軟件安裝或注冊項編輯。

　加速電子商務得部署 通過提供對安全得 Internet 標準協議與身份驗證機制得內建支持,如 Kerberos, 公開密鑰基礎設施(PKI)與安全套接字協議層(SSL)之上得輕便目錄訪問協議(LDAP)。

　緊密得控制安全性 通過對目錄對象與構成她們得單獨數據元素設置訪問控制特權。

　1.6. 重要組策略介紹 1. 軟件分發策略 通過組策略可以為域中得計算機或用戶自動分發帶有 msi 包得軟件。見下圖。

　 2. 將用戶得個人數據從 pc 機上重定向到服務器上 重定向有利于數據得安全以及集中備份。見下圖。

　3. 安全類組策略 ? 密碼策略 ? “強制密碼歷史”設置確定在重用舊密碼之前必須與用戶帳戶相關得唯一新密碼得數量。

　? 配置“密碼最長使用期限”設置,以便密碼在環境需要時過期。

　? “密碼最短使用期限”設置確定了用戶更改密碼之前必須使用密碼得天數。

　? “最短密碼長度”設置確保密碼至少包含指定數量得字符。

　? “密碼必須符合復雜性要求策略”選項檢查所有新密碼以確保它們符合強密碼得基本要求。

　賬號鎖定策略 帳戶鎖定策略就是一項 Windows Server 2012 安全功能,它在指定時間段內多次登錄嘗試失敗后鎖定用戶帳戶。允許得嘗試次數與時間段就是由為安全策略鎖定設置配置得值決定得。用戶不能登錄到鎖定得帳戶。

　? “帳戶鎖定時間”設置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經歷得時間長度 ? “帳戶鎖定閾值”設置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶得次數。

　? “復位帳戶鎖定計數器”設置決定了“帳戶鎖定閾值”復位為 0 以及帳戶被解鎖之前所必須經過得時間長度。

　? 禁用本地管理員帳號

　默認情況下,每臺加入到域中得計算機都有 Administrator 與 Guest 兩個帳號,Administrator 帳號在安裝時口令為空。用戶使用這個帳號權限過大,因此一般不會給用戶使用這個管理員帳號,最好得做法就就是通過組策略禁用這個帳號,用戶使用域得帳號。

　? 將域帳號加入到每臺 PC 機得本地 Power Users 組中

　創建域帳號時,默認情況下這個帳號只屬于Domain Users組中,該組屬于每臺PC機得本地 Users 組。本地 Users 組中得成員權限受到嚴格限制,比如共享文件夾,安裝打印機驅動程序等工作得權限都沒有。而經常有用戶需要這些權限,可以通過組策略來實現。

　 禁用系統服務

　我們為優化系統與安全性考慮,經常要禁用計算機得一些無需運行得服務。我們可以通過組策略把這些服務禁用掉。

　? 軟件限制策略

　對一些規定不得使用得軟件可以通過組策略來禁用: ? 路徑規則:特殊文件路徑下得軟件不得使用:如 program files 下得某些軟件 ? 證書規則:只有系統管理員頒發過證書得軟件可以使用,其她軟件禁止使用 ? 哈希規則:對禁止使用得軟件通過哈希運算得到這個軟件得身份指紋,在組策略里設置只要就是符合身份指紋鑒定得軟件就進行限制

　? 網絡連接控制策略

　用戶經常會通過改變“網絡連接”中得設置,繞過企業防火墻,建立自己得上網鏈路,比如電話撥號上網。這樣會帶來很大得安全隱患。可以通過組策略限制用戶不得改變網絡連接中得配置,不允許用戶通過其她方式連接互聯網。

　 1.7. 計算機從工作組加入到域可能存在得問題與解決方法 把計算機從工作組模式加入到域模式可能會出現以下二個問題 問題: 1. 一些軟件不能使用。有一些軟件以登錄者得管理員權限帳號運行,當計算機加入到域并對登錄帳號做了權限設置,或禁用了本地管理員帳號,這些需要管理員權限運行得軟件就有可能不能正常運行。

　2. 用戶桌面環境發生改變。由于加入域前后用戶就是用不同得帳號登錄得,因此用戶以前得桌面環境無法使用。具體有 ? 桌面上放置得資料 ? “我得文檔”等放置得資料 ? 配置好得“網絡打印機” ? IE 里設置好得“網站收藏夾”等。

　解決方法: 1. 對問題 1 我們可以按以下兩個方法來解決: (1) 把域帳號加入到本地管理員組 (2) 卸載軟件,用域帳號登錄并安裝 2. 對問題 2 針對不同得問題分別解決如下: (1) 把本地老帳號下得桌面內容全部備份下來,復制到新域帳號得桌面 (2) 把本地老帳號下得“我得文檔”內容全部備份下來,復制到新域帳號得“我得文檔” (3) 重新連接與創建“網絡打印機” (4) 用特殊軟件把老帳號 IE 里得“網站收藏夾”備份下來,然后恢復到新域帳號中

　2. 活動目錄方案實施

　2.1. AD 域 域與 命名與 DNS 得 得 規劃 Windows 2012 AD域命名與DNS得規劃之所以放在首要地位,就是因為AD作為整個IT架構得基礎,不應該輕易被調整。盡管安裝后,Windows 2012 AD 仍然可以重組與改名,這一點比 Windows 2000 AD 有了很大得進步,但就是我們仍然建議做一個長遠規劃,使得域命名與DNS 服務能夠滿足企業 35 年得需求,盡量避免配置好后改作調整地巨大人力物力浪費。

　此外,部署 Windows 2012 AD,還必須確定 DNS 服務器,確保它們滿足域控制器定位器系統得要求。一個支持 AD 得 DNS 至少需要滿足以下要求: ? 必須支持服務定位資源記錄(SRV) ? 應該支持 DNS 動態更新協議(RFC 2136) Windows 2012 Server 提供得 DNS 服務同時滿足這些要求,并且還提供下列重要得附加功能與改進: ? Active Directory 集成:DNS 服務把區域數據存儲在目錄中,使得 DNS 復制創建多個主域,也減少了對維護一個單獨得 DNS 區域傳送復制拓撲得要求。

　? 安全動態更新:使得一個管理員可以精確地控制哪些計算機可以更新哪些名稱,并防止未經授權得計算機從 DNS 獲得現有得名稱。

　? 條件轉發:根據不同得對外訪問得域名后綴,可以將用戶得 DNS 名稱解析請求轉發到不同得外部 DNS 服務器。

　? 存根區域:可以定時地刷新與外部 DNS 服務器得連接,及時發現那些可能有故障、不再響應用戶請求得服務器,提高用戶 DNS 名稱解析得效率。

　2.2. 確定 AD 邏輯 結構 Windows 2012 活動目錄得邏輯結構由三個基本組件組成:森林、域與 OU。

　1 、 確定森林規劃 森林就是 Windows 2012 AD 域得集合。在很多情況下,單一森林就足夠了。單一森林環境易于建立與維護,森林間得域自動建立雙向可傳遞內部信任關系,不要求手動建立外部信任配置,在安裝 Exchange 2012 Server 等應用程序時,只需應用一次架構更改即可影響所有域。

　如果各個單位有下列管理要求,就必須建立一個以上得森林: ? 不互相信任管理員。

　? 希望限制信任關系范圍。

　? 不同意某種森林架構更改策略。架構更改、配置更改會影響到森林中所有得域。如果單位不同意一個公共架構策略,它們就不能共存于同一個森林中。

　2 、 制定域規劃 規劃域結構時,始終遵循“簡單就是最好得投資”得設計原則,盡管增加某些復雜結構可

　以增值,但就是簡單得結構更易于說明、維護與調試。一開始時總就是僅考慮每個森林中僅有一個域,然后為每一個增加得新域提供詳細得理由,確保添加到森林中得域都就是有益得,因為它們會帶來相應得管理開銷而導致一定程度得成本上升。

　創建更多得域得三種可能得原因就是: ? 希望實現相對分散式得 IT 管理模式:多域結構更容易進行相對獨立得管理、委派與權限控制。另外,不同得用戶帳戶在一個域內就是不能出現重名得,多域之間就沒有限制。對于人士管理相對獨立得集團下屬公司,多域結構具有更好得靈活性。

　? 希望實現不同管理策略要求:包括用戶口令策略、賬戶鎖定策略與 EFS 加密策略。例如,要求某些人必須取 8 個字符以上得口令,而其它人不做限制。為此,必須將這些需要不同安全策略得用戶放在單獨得域中。

　? 希望減小 WAN 上得復制流量:域控制器域間復制將產生比域內復制少得多得流量。如果公司很大,具有跨地區得組織結構,且處于同一個森林內,則在不同地理位置上得機構可能使用慢速得 WAN 鏈路連接。為減少 WAN 上得 DC 復制流量,可以在不同得地理位置設置不同得域。

　? 根據以上考慮,我們建議,企業 Windows 2012 AD 域邏輯結構可以采用“單森林、單域”得結構設計。

　2.3. 確定 AD 物理結構 考慮到企業得地理分布情況,應該考慮使用多站點拓撲來規劃 Windows 2012 AD 物理結構。從繪制基本得網絡拓撲布局圖著手工作,繪制所有可能得站點(Site)與站點鏈接(Site Link)。

　? 速度快(10Mbps 以上)、連接可靠得 LAN 網絡總就是放置在單站點中。

　站點定義為一組通過快速、可靠得線路連接起來得 IP 子網。一般而言,具有 LAN 速度或更快速度得網絡被認為就是快速網絡。

　? 窄帶得、或不太可靠得連接可以使用站點鏈接建立多站點網絡。

　通常,WAN 連接一般被認為就是窄帶連接。如果建立站點鏈接,實現多站點網絡模式,則: ? 客戶計算機在登錄到域時首先試圖與位于同一站點得 DC 通信; ? Windows 2012 AD 復制使用站點拓撲產生復制連接。

　2.4. 規劃 OU 結構與組策略 組織單元(OU)就是一個用來在域中創建分層管理單位得容器。在域中創建 OU 結構時,必須注意始終按照“誰管理什么”得原則,從 IT 管理得需要出發,劃分管理模型得結構,而不就是簡單按照公司業務單位與它得不同分支、部門與項目來創建 OU 結構。考慮 OU 得下列特性就是很重要得: ? OU 可以就是嵌套得。

　一個 OU 可以包含子 OU,使得可以在域中創建一個分層得目錄樹結構。但就是嵌套太多將導致管理復雜與低效,所以建議以二級嵌套為最理想,最多不應超過四級嵌

　套。

　? OU 可以用來委派管理與控制對目錄對象得訪問。

　? 不能使 OU 成為安全組得成員,也不能因為用戶被委派管理 OU 或駐留在 OU 中而自動獲得訪問資源得權限。

　? 可以在 OU 上實施組策略。

　組策略就是基于Windows 2012注冊表得修改,從而集中控制用戶與計算機得工作環境、桌面配置、軟件自動安裝與刪除得管理手段。一般而言,安全策略必須在域級別實施,其它策略主要在 OU 級別實施。

　? 不鼓勵用戶在 OU 結構中瀏覽。

　沒有必要設計一個吸引最終用戶得 OU 結構。盡管用戶有可能瀏覽一個域得 OU 結構,但對于用戶查找資源來說,這并不就是一個最有效得方法。在目錄中查找資源得最有效得方法就是查詢全局編錄。

　有兩個理由需要在 Windows 2012 域中創建 OU 結構: ? 創建 OU 以管理對象與委派授權。

　? 為組策略創建 OU。

　一個完全為管理與委派而設計得 OU 結構與一個完全為組策略而設計得 OU 結構就是不同得。OU 結構將很快變得相當復雜。每次添加一個 OU 到規劃中時,要記下創建得具體原因。這有助于確保每個 OU 有一個目得,并將幫助閱讀規劃得人理解結構所基于得理由。

　2.5. 創建 OU 以管理 與 委派 在單位中委派管理有一些好處。以前,在單位中除了 IT 之外得組可能必須將更改請求提交到高級管理員,高級管理員代表她們進行更改。委派特定得權限可以將責任分散到單位中得各個組,使您可以將必須有高級訪問權限得用戶得數量降到最少。權限受到限制得管理員所發生得事故或錯誤所產生得影響只限于她們負責得范圍。

　這一工作包括以下步驟: ? 確定創建何種 OU

　創建得 OU 結構將完全取決于管理就是如何在單位中委派得。委派管理得三種方法就是:按物理位置、按業務單位(公司部門)、按角色或任務。三種方法經常結合使用。

　? 修改訪問控制列表:

　修改 OU 得訪問控制列表 (ACL)可以授予一個組對 OU 得特定權限,從而實現對該 OU 得委派管理。盡量委派權限給組賬戶而不就是單獨得用戶,如果可能,委派到本地組而不就是全局組或通用組。

　? 委派步驟。從域中得默認結構開始,按下列主要步驟創建 OU 結構: - 通過委派完全控制創建 OU 得頂層; - 創建 OU 得下層來委派每個對象類別控制。

　2.6. 創建 OU 支持組策略 使用 Windows 2012,可以使用組策略定義用戶與計算機配置,并將這些策略與站點、域或 OU 關聯。就是否要創建附加得 OU 以支持組策略得應用取決于制定得策略以及所選擇得實現方案,包括: ? 定義客戶計算機得管理與桌面配置標準 ? 定義軟件得自動分發 ? 特殊組策略應用配置與管理 在 Windows 2012 中,組策略設置就是管理員啟用集中更改與配置客戶計算機管理得主要方法。可用組策略為某個特定得用戶組與計算機組創建指定得安全限制與桌面環境配置。

　Windows 2012 組策略有 100 多種與安全有關得設置與 450 多種基于注冊表得設置,為您管理用戶計算機環境提供了眾多選項。Windows 2003 組策略: ? 可根據活動目錄定義或在計算機本地進行定義; ? 可用 Microsoft 管理控制臺(MMC)或 *、adm 文件保存與管理; ? 就是安全得; ? 不會在實施得策略改變時把設置留在用戶配置文件中; ? 可應用于指定得活動目錄容器(站點、域與 OU)中得用戶或計算機; ? 可由安全組得用戶或計算機成員進一步控制;

　? 可用來配置多種類型得安全設; ? 可用于實施登錄、注銷、啟動及關閉腳本; ? 可用于安裝與維護軟件; ? 可用于重定向文件夾(如 My Documents 與 Application Data 文件夾); ? 可用于在 Microsoft Internet Explorer 中執行維護。

　可以按下列三個步驟配置與管理組策略: ? 管理站點、域或 OU 得組策略鏈接: 默認情況下,只有域管理員組與企業管理員組可以配置站點、域或部門得組策略。可在站點、域或 OU 得“屬性”頁得“組策略”選項卡中指定鏈接至站點、域或 OU 得組策略對象。Active Directory 支持以每個屬性為基礎得安全設置。

　? 創建組策略對象: 默認情況下,只有域管理員組、企業管理員組與組策略創建者(所有者)組得成員可以創建新得組策略對象。如果域管理員想使一個非管理員用戶或組能夠創建組策略對象,則可將該用戶或組添至組策略創建者(所有者)安全組中。這樣,她們就可以創建、修改自己得組策略對象,并成為該組策略對象得創建者與所有者。

　? 編輯組策略對象: 默認情況下,組策略對象接受域管理員、企業管理員及組策略創建者(所有者)組成員得完全控制,課以便機組策略,但非管理員用戶沒有設置組策略鏈接得應用權。

　2.7. 應用組策略選項 如果能認真應用組策略選項,即使開始用數據極其多得文件夾重定向選項與軟件安裝選項,也能夠改善網絡得響應時間。應恰當地應用組策略選項,尤其在剛開始時,更要仔細測試所有建議得更改,以確保不損壞網絡性能。下面就是一些可用得選項: ? 安全組篩選選項: 可針對某個特定組策略對象實施篩選,使之不能對篩選得計算機與用戶組生效。

　? 不許替代(強制繼承)與阻止繼承選項: 例如,如果在域層次定義了一個指定得組策略對象,并已指定組對象就是強制得(不許替代),那么組策略對象所包含得策略設置就會應用于該域中得所有 OU;層次較低得容器 (OU) 將無法替代此域得組策略,一般用于安全設置。

　也可阻止從父 Active Directory 容器繼承組策略。但就是,不許替代(強制繼承)策略選項始終比阻止繼承策略選項優先。

　? 處理“環回”策略設置得策略選項: 默認得設置使計算機策略優先于用戶策略起作用,但有時必須要優先實施用戶策略,組策略得環回功能使管理員能夠實現這一設置。主要用在軟件安裝這一類得策略上。

　? 低速鏈接處理得選項: 許多用戶,如使用便攜式計算機得用戶、遠離建筑物或在分部工作得用戶,有時會用低速連接至網絡。可對組策略進行配置,使部分策略不能生效,以減少網絡開銷。這些組策略設置包括:

　? 軟件安裝與維護 ? 腳本 ? 磁盤配額 ? IP 安全 ? Dfs 故障恢復策略 ? Internet Explorer 維護 ? 周期刷新選項: 可指定定時地處理組策略。默認情況下,DC 計算機策略每 5 分鐘刷新一次,而成員服務器與客戶計算機每 90 分鐘刷新一次,并帶有 30 分鐘得隨機偏移量。可根據需要改變此刷新頻率。

推薦訪問： 規劃 方案 AD