第3章ActiveDirectory和組策略規劃基礎結構服務服務器角色規劃和實現組策略方案本章課程設置：第1課WindowsServer2008ActiveDirectory第2課WindowsServer2008

組策略1第3章ActiveDirectory和組策略規劃基礎結第1課windowsServer2008AD學習目標：列舉和描述WindowsServer2008ActiveDirectory域服務（ADDS）的新特征和功能規劃和配置域功能級別規劃林功能級別規劃林信任使用目錄服務器2第1課windowsServer2008AD學習目標3.1.1介紹WindowsServer2008目錄服務器角色目錄服務器角色ADDS引入的新功能：只讀域控制器RODC新的和增強的工具和向導：ADDS安裝向導細化的安全策略：多元密碼策略可重啟的ADDS：允許離線操作ADDS數據挖掘工具：可查看快照數據33.1.1介紹WindowsServer2008目錄服務3.1.1介紹WindowsServer2008目錄服務器角色1．只讀域控制器RODCRODC是具有ActiveDirectory文件庫只讀版本的域控制器，可部署于域控制器安全性無法確保的環境中。包括域控制器的物理安全性有疑慮的分支機構，或者具有額外角色功能并需要其他用戶登入與管理服務器的域控制器。可以把RODC管理委派給一個域用戶或安全組，從而在本地管理員不是DomainAdmins組成員的地方使用RODC。43.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色使用案例：遠程分公司的用戶，一般通過廣域網WAN連接到總公司的DC進行身份驗證。缺點：延遲或不能登錄。怎么解決？可寫的DC?存放一個可寫的DC和一個管理員，浪費太大。存放一個可寫的DC，讓管理員遠程管理，帶寬低，費時又棘手。存放一個可寫的DC不如WAN安全。RODC解決方案：RODC提供了增強的安全性；使登錄更快速，并且允許更有效地訪問本地資源；RODC管理可以委派給一個沒有管理權限的用戶或組。53.1.1介紹WindowsServer2008目錄服1．只讀域控制器RODC如果分公司使用的LOB（line-of-business）業務應用程序只有安裝到一個域控制器上才能運行，也要選擇部署RODC。RODC從一個可寫DC接收它的配置。敏感的安全信息不被復制到RODC。用戶在分公司第一次登錄時通過WAN進行身份確認，然后RODC可以把憑證緩存，以后就可以在本地驗證。因此，在用戶相對較少，物理安全性差，網絡帶寬較低，IT知識貧乏的環境下，可以采用RODC。提供了只讀ADDS數據庫、單向復制、憑證緩存、管理員角色分離、只讀DNS（不支持客戶更新）等功能。3.1.1介紹WindowsServer2008目錄服務器角色61．只讀域控制器RODC3.1.1介紹WindowsSer3.1.1介紹WindowsServer2008目錄服務器角色2．規劃RODC實現條件：遠程啟動Server2008升級或有一個2008的ADDS域，即可計劃實現RODC。RODC安裝的兩個階段：第一階段：為該域中的RODC創建計算機賬戶時，可以為特定的RODC規定密碼復制策略。在RODC上安裝DNS實現一個輔助的DNS服務器，可以復制該DNS使用的所有應用程序目錄分區。客戶更新數據，可以請求單一更新DNS。第二階段：安裝73.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色3．利用安裝向導增強功能WindowsServer2008增加了ADDS安裝向導，以簡化ADDS安裝，并引入了RODC安裝等新特征。單擊“添加角色”輸入命令dcpromo高級模式安裝使你能夠更好地控制安裝過程。83.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色4．委派RODC安裝在總公司DC中，可以委派合適的權限給一個用戶或組。分支辦公室的用戶接受了委派權限后，就可以執行RODC的安裝，并可以管理RODC，但不需要域管理員權限。過程：首先創建RODC賬戶；安裝過程中就可以關聯/委派。93.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色5．利用MMC管理單元增強功能WindowsServer2008增強了MMC管理單元工具（如AD用戶和計算機）的功能。查找命令：該命令允許查找放置DC的站點。可以幫助解決復制問題。提供配置“密碼復制策略”選項卡，用于配置RODC的設置。單擊“高級”按鈕，可以查看哪些密碼已被發送或存儲到RODC中，也就知道誰在使用RODC。103.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色6．規劃多元密碼和帳戶鎖定策略以前的ActiveDirectory實現中，只能對域中的所有用戶應用一個密碼和帳戶鎖定策略。WindowsServer2008允許規定多元密碼策略。可以規定多個密碼策略，并對單個域中的不同用戶組應用不同的密碼限制和賬戶鎖定策略。密碼設置容器（PSC）密碼設置對象（PSO）通常，規劃的策略可以包含至少3個但不能多于10個PSO。不能直接將PSO應用于組織單元OU。而考慮為這些OU創建影子組（全局安全組），然后應用PSO。113.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色6．規劃多元密碼和帳戶鎖定策略將PSO應用于組而不是OU，可以不用修改OU層次結構，組為管理各用戶集提供了更好的靈活性。使用多元密碼，需要具有2008域功能級別。只有域管理組的成員才可以創建PSO，以及將一個PSO應用于某個組或用戶。多元密碼策略只能應用于用戶對象和全局安全組，不能應用于計算機對象。多元密碼策略不能干預自定義的密碼篩選器。PSO分配給一個全局組后，可以把一個特殊的PSO直接應用于特定的用戶。可以計劃委派多元密碼管理。123.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色7．規劃數據挖掘工具的使用目的：為了方便恢復被刪除的ADDS對象。數據挖掘工具Dsamain.exe使被刪除的數據能夠以卷影復制服務VSS備份的ADDS快照方式進行保留。可以利用輕型目錄訪問協議工具，如ldp.exe查看這些快照中的只讀數據。規劃被刪除數據的還原策略：決定如何最好地保留刪除的數據，使它能夠被還原，從而在需要的時候還原該數據。決定數據丟失后或者破壞時應還原哪個快照。確定了需要恢復的對象或OU，可以在快照中標識并記錄它們的屬性和返回鏈接。考慮快照的安全問題，制訂恢復計劃。133.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色8．規劃ADDS審核在WindowsServer2008中，全局審核策略“審核目錄服務訪問”默認啟動。該策略控制啟用還是禁用目錄服務事件的審核。審核：記錄事件寫入“安全性”事件日志以及如何響應事件。DS訪問DS改變DS復制審核DS復制被進一步細分，提供兩個審核級別的選擇：正常和詳細。如何響應事件：“將任務附加到該事件”。143.1.1介紹WindowsServer2008目錄服3.1.2規劃域和林功能將域和林升級到WindowsServer

2008時，總會提升域和林的功能級別。提升功能級別非常容易，但是不可能降低它們，除了卸載重裝。要規劃需要為域設置什么功能級別以及什么時候提升功能，需要知道每個功能級別支持什么DC以及提升功能級別提供哪些附加功能，還需要知道域和林功能級別之間的關系。域功能級別考慮因素林功能級別考慮因素153.1.2規劃域和林功能將域和林升級到WindowsSe3.1.3規劃林級信任林信任（即林級信任）允許一個林中的每個域信任另一個林中的每個域。可以是單向傳入信任、單向傳出信任或雙向信任。應用：伙伴公司或密切聯系的組織之間可以使用林信任。林信任可能構成并購或者接管戰略的組成部分。對AD隔離也可以使用林信任。163.1.3規劃林級信任林信任（即林級信任）允許一個林中的每1．規劃信任類型和信任方向類型：林信任：最常見的跨林運作的信任類型。快捷方式信任外部信任：林中的一個域需要與一個不屬于林的域建立信任關系，則建立一個域信任。領域信任：Unix領域和Windows域之間，通過Kerberos身份驗證，建立信任。信任方向：單向（傳入、傳出）、雙向3.1.3規劃林級信任171．規劃信任類型和信任方向3.1.3規劃林級信任173.1.3規劃林級信任2．創建林信任在創建前，需要確保兩個林的林功能級別是WindowsServer2003或WindowsServer2008。下一步是確保每個林的根域可以訪問其他林的根域。從“管理工具”中打開“ActiveDirectory域和信任關系”。啟動“新建信任向導”。183.1.3規劃林級信任2．創建林信任18本課小結WindowsServer2008引入許多新的ADDS功能，包括RODC、多元安全策略和數據挖掘工具等。在分支辦公室中，如果可寫入的DC可能成為一種安全威脅，則可以安裝RODC來改進登錄和DNS解析。可以配置PSO以存儲不同于域策略的密碼和賬戶鎖定策略，可以將用戶和安全組與一個PSO關聯。數據挖掘工具使被刪除的ADDS或ADLDS數據能夠以VSS獲得的ADDS快照方式保留下來。WindowsServer2008增強了MMC管理單元工具的功能。增強了ADDS審核功能，允許判定ADDS發生了什么改變以及這些改變是何時發生的。林級信任允許一個林中的某個域的用戶訪問另一個林中的某個域中的資源。19本課小結WindowsServer2008引入許多新第2課WindowsServer2008組策略組策略通過自動完成很多與用戶和計算機管理相關的任務來簡化管理。可以使用組策略在客戶端按需安裝允許的應用程序，并使應用程序保持更新。在WindowsServer2008中，組策略管理控制臺（GPMC）是內置的。通過“添加功能向導”可以安裝GPMC。管理模板（ADM）文件用來描述基于注冊表的組策略設置。在WindowsServer2008中ADM文件被替換為XML格式的ADMX文件，使管理更加容易。20第2課WindowsServer2008組策略組策略通第2課WindowsServer2008組策略學習目標：了解組策略，安裝GPMC列舉WindowsServer2008引入的新的組策略設置和說明它們的功能編寫簡單的ADMX文件討論配置組策略時可能發生的各種問題以及如何解決它們21第2課WindowsServer2008組策略學習目3.2.1了解組策略組策略對象（GPO）中包含的組策略設置可以鏈接到OU，而OU既可以從父OU繼承設置，也可以阻斷繼承，并從它們自己鏈接的GPO獲得特定的設置。策略（特別是安全策略）可以設置為“不覆蓋”，使它們不能被阻斷或覆蓋，并強制子OU從父OU繼承設置。223.2.1了解組策略組策略對象（GPO）中包含的組策略設置WindowsServer2008引入了下列組策略設置：允許遠程啟動未列出的程序允許時間區域重定向在連接時始終顯示桌面磁盤診斷：配置自定義警告文本、配置執行級別不允許剪貼板重定向登錄時不自動顯示初始配置任務窗口登錄時不顯示服務器管理器頁面實施遠程桌面墻紙的刪除組策略管理編輯器……3.2.1了解組策略23WindowsServer2008引入了下列組策略設置：3.2.2規劃和管理組策略規劃組策略的部分工作是規劃組織結構。保持結構簡單，不要跨站點邊界鏈接OU和GPO，賦予OU和GPO有意義的名稱。充分了解組策略在客戶端是如何處理的。處理分如下兩個階段：核心處理：核心組策略引擎在初始階段處理。連接DC，是否有GPO被修改，以及哪些策略設置必須處理。客戶端擴展（CSE）處理：從DC下來的組策略設置被放到了不同的分類，每個分類的設置都有一個特定的CSE處理。核心組策略引擎調用所需的CSE來處理客戶端應用的設置。243.2.2規劃和管理組策略規劃組策略的部分工作是規劃組織結3.2.2規劃和管理組策略1．使用ADMX文件管理組策略ADMX是用來定義注冊表的策略設置。使用基于XML的文件格式。ADMX文件分為語言中立資源（.admx文件）和語言特定的資源（.adml文件）。2．ADMX位置ADMX文件可以存儲在一個中心位置。這就大大減少了維護GPO所需的存儲空間。中心存儲位置不是默認可用的，而是需要人工創建它。253.2.2規劃和管理組策略1．使用ADMX文件管理組策略23.2.2規劃和管理組策略3．創建自定義的ADMX文件如果WindowsSerer2008所帶的標準組策略設置不能滿足要求，可以考慮創建自定義的ADMX文件。ADMX修改注冊表。所以要在隔離的試驗網絡上對自定義的ADMX文件進行測試，不能把它們直接安裝到生產網絡上。使用XML編輯器或文本編輯器可以創建和編輯ADMX文件。XML文件是區分大小寫的。263.2.2規劃和管理組策略3．創建自定義的ADMX文件263.2.3組策略疑難解答組策略是健壯的，幾乎不會break。由于策略繼承和OU結構設計得不正確，組策略會不起作用。調試組策略的第一步，通常是檢查正確地規劃和實現了域基礎結構。確保所需的服務和組件都如期望的那樣運行和配置。如果某一個有問題，首先驗證是否被連入網絡，加入了域，具有正確的系統時間。其次檢查你配置的安全篩選等設置有沒有影響正常的GPO處理。273.2.3組策略疑難解答組策略是健壯的，幾乎不會break3.2.3組策略疑難解答1．使用組策略工具GPResult.exe：驗證對某個特定用戶或計算機起作用的所有策略設置。GPOTool.exe：一個資源工具包，檢查域的每個DC上的GPO一致性，以及確定這些策略是否有效，顯示有關復制的GPO的詳細信息。2．解決核心處理問題如果核心處理沒有快速有效地發生，CSE處理可能無法開始，組策略得不到應用。283.2.3組策略疑難解答1．使用組策略工具2．解決核心處理本課小結GPMC與WindowsServer2008緊密集成，使用服務器管理器可以安裝該工具。WindowsServer2008引入了許多組策略設置，特別是與TS服務器角色有關的設置。ADMX語言中立和語言特定的文件定義WindowsServer2008域中可配置的組策略設置。這些文件可以存儲在DC上的一個中心存儲位置，需要在某個DC上創建該中心存儲位置。DFSR把它復制到域中的其他DC。有各種各樣的工具可以幫助解決組策略問題，其中最有用的是使用GPMC保存GPO報告的功能。29本課小結GPMC與WindowsServer2008緊本章小結P1343.1.5本課小結P1523.2.5本課小結P154本章小結P1343.1.6復習題P1523.2.6復習題P154關鍵術語30本章小結P1343.1.5本課小結30第3章ActiveDirectory和組策略規劃基礎結構服務服務器角色規劃和實現組策略方案本章課程設置：第1課WindowsServer2008ActiveDirectory第2課WindowsServer2008

組策略31第3章ActiveDirectory和組策略規劃基礎結第1課windowsServer2008AD學習目標：列舉和描述WindowsServer2008ActiveDirectory域服務（ADDS）的新特征和功能規劃和配置域功能級別規劃林功能級別規劃林信任使用目錄服務器32第1課windowsServer2008AD學習目標3.1.1介紹WindowsServer2008目錄服務器角色目錄服務器角色ADDS引入的新功能：只讀域控制器RODC新的和增強的工具和向導：ADDS安裝向導細化的安全策略：多元密碼策略可重啟的ADDS：允許離線操作ADDS數據挖掘工具：可查看快照數據333.1.1介紹WindowsServer2008目錄服務3.1.1介紹WindowsServer2008目錄服務器角色1．只讀域控制器RODCRODC是具有ActiveDirectory文件庫只讀版本的域控制器，可部署于域控制器安全性無法確保的環境中。包括域控制器的物理安全性有疑慮的分支機構，或者具有額外角色功能并需要其他用戶登入與管理服務器的域控制器。可以把RODC管理委派給一個域用戶或安全組，從而在本地管理員不是DomainAdmins組成員的地方使用RODC。343.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色使用案例：遠程分公司的用戶，一般通過廣域網WAN連接到總公司的DC進行身份驗證。缺點：延遲或不能登錄。怎么解決？可寫的DC?存放一個可寫的DC和一個管理員，浪費太大。存放一個可寫的DC，讓管理員遠程管理，帶寬低，費時又棘手。存放一個可寫的DC不如WAN安全。RODC解決方案：RODC提供了增強的安全性；使登錄更快速，并且允許更有效地訪問本地資源；RODC管理可以委派給一個沒有管理權限的用戶或組。353.1.1介紹WindowsServer2008目錄服1．只讀域控制器RODC如果分公司使用的LOB（line-of-business）業務應用程序只有安裝到一個域控制器上才能運行，也要選擇部署RODC。RODC從一個可寫DC接收它的配置。敏感的安全信息不被復制到RODC。用戶在分公司第一次登錄時通過WAN進行身份確認，然后RODC可以把憑證緩存，以后就可以在本地驗證。因此，在用戶相對較少，物理安全性差，網絡帶寬較低，IT知識貧乏的環境下，可以采用RODC。提供了只讀ADDS數據庫、單向復制、憑證緩存、管理員角色分離、只讀DNS（不支持客戶更新）等功能。3.1.1介紹WindowsServer2008目錄服務器角色361．只讀域控制器RODC3.1.1介紹WindowsSer3.1.1介紹WindowsServer2008目錄服務器角色2．規劃RODC實現條件：遠程啟動Server2008升級或有一個2008的ADDS域，即可計劃實現RODC。RODC安裝的兩個階段：第一階段：為該域中的RODC創建計算機賬戶時，可以為特定的RODC規定密碼復制策略。在RODC上安裝DNS實現一個輔助的DNS服務器，可以復制該DNS使用的所有應用程序目錄分區。客戶更新數據，可以請求單一更新DNS。第二階段：安裝373.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色3．利用安裝向導增強功能WindowsServer2008增加了ADDS安裝向導，以簡化ADDS安裝，并引入了RODC安裝等新特征。單擊“添加角色”輸入命令dcpromo高級模式安裝使你能夠更好地控制安裝過程。383.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色4．委派RODC安裝在總公司DC中，可以委派合適的權限給一個用戶或組。分支辦公室的用戶接受了委派權限后，就可以執行RODC的安裝，并可以管理RODC，但不需要域管理員權限。過程：首先創建RODC賬戶；安裝過程中就可以關聯/委派。393.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色5．利用MMC管理單元增強功能WindowsServer2008增強了MMC管理單元工具（如AD用戶和計算機）的功能。查找命令：該命令允許查找放置DC的站點。可以幫助解決復制問題。提供配置“密碼復制策略”選項卡，用于配置RODC的設置。單擊“高級”按鈕，可以查看哪些密碼已被發送或存儲到RODC中，也就知道誰在使用RODC。403.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色6．規劃多元密碼和帳戶鎖定策略以前的ActiveDirectory實現中，只能對域中的所有用戶應用一個密碼和帳戶鎖定策略。WindowsServer2008允許規定多元密碼策略。可以規定多個密碼策略，并對單個域中的不同用戶組應用不同的密碼限制和賬戶鎖定策略。密碼設置容器（PSC）密碼設置對象（PSO）通常，規劃的策略可以包含至少3個但不能多于10個PSO。不能直接將PSO應用于組織單元OU。而考慮為這些OU創建影子組（全局安全組），然后應用PSO。413.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色6．規劃多元密碼和帳戶鎖定策略將PSO應用于組而不是OU，可以不用修改OU層次結構，組為管理各用戶集提供了更好的靈活性。使用多元密碼，需要具有2008域功能級別。只有域管理組的成員才可以創建PSO，以及將一個PSO應用于某個組或用戶。多元密碼策略只能應用于用戶對象和全局安全組，不能應用于計算機對象。多元密碼策略不能干預自定義的密碼篩選器。PSO分配給一個全局組后，可以把一個特殊的PSO直接應用于特定的用戶。可以計劃委派多元密碼管理。423.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色7．規劃數據挖掘工具的使用目的：為了方便恢復被刪除的ADDS對象。數據挖掘工具Dsamain.exe使被刪除的數據能夠以卷影復制服務VSS備份的ADDS快照方式進行保留。可以利用輕型目錄訪問協議工具，如ldp.exe查看這些快照中的只讀數據。規劃被刪除數據的還原策略：決定如何最好地保留刪除的數據，使它能夠被還原，從而在需要的時候還原該數據。決定數據丟失后或者破壞時應還原哪個快照。確定了需要恢復的對象或OU，可以在快照中標識并記錄它們的屬性和返回鏈接。考慮快照的安全問題，制訂恢復計劃。433.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務器角色8．規劃ADDS審核在WindowsServer2008中，全局審核策略“審核目錄服務訪問”默認啟動。該策略控制啟用還是禁用目錄服務事件的審核。審核：記錄事件寫入“安全性”事件日志以及如何響應事件。DS訪問DS改變DS復制審核DS復制被進一步細分，提供兩個審核級別的選擇：正常和詳細。如何響應事件：“將任務附加到該事件”。443.1.1介紹WindowsServer2008目錄服3.1.2規劃域和林功能將域和林升級到WindowsServer

2008時，總會提升域和林的功能級別。提升功能級別非常容易，但是不可能降低它們，除了卸載重裝。要規劃需要為域設置什么功能級別以及什么時候提升功能，需要知道每個功能級別支持什么DC以及提升功能級別提供哪些附加功能，還需要知道域和林功能級別之間的關系。域功能級別考慮因素林功能級別考慮因素453.1.2規劃域和林功能將域和林升級到WindowsSe3.1.3規劃林級信任林信任（即林級信任）允許一個林中的每個域信任另一個林中的每個域。可以是單向傳入信任、單向傳出信任或雙向信任。應用：伙伴公司或密切聯系的組織之間可以使用林信任。林信任可能構成并購或者接管戰略的組成部分。對AD隔離也可以使用林信任。463.1.3規劃林級信任林信任（即林級信任）允許一個林中的每1．規劃信任類型和信任方向類型：林信任：最常見的跨林運作的信任類型。快捷方式信任外部信任：林中的一個域需要與一個不屬于林的域建立信任關系，則建立一個域信任。領域信任：Unix領域和Windows域之間，通過Kerberos身份驗證，建立信任。信任方向：單向（傳入、傳出）、雙向3.1.3規劃林級信任471．規劃信任類型和信任方向3.1.3規劃林級信任173.1.3規劃林級信任2．創建林信任在創建前，需要確保兩個林的林功能級別是WindowsServer2003或WindowsServer2008。下一步是確保每個林的根域可以訪問其他林的根域。從“管理工具”中打開“ActiveDirectory域和信任關系”。啟動“新建信任向導”。483.1.3規劃林級信任2．創建林信任18本課小結WindowsServer2008引入許多新的ADDS功能，包括RODC、多元安全策略和數據挖掘工具等。在分支辦公室中，如果可寫入的DC可能成為一種安全威脅，則可以安裝RODC來改進登錄和DNS解析。可以配置PSO以存儲不同于域策略的密碼和賬戶鎖定策略，可以將用戶和安全組與一個PSO關聯。數據挖掘工具使被刪除的ADDS或ADLDS數據能夠以VSS獲得的ADDS快照方式保留下來。WindowsServer2008增強了MMC管理單元工具的功能。增強了ADDS審核功能，允許判定ADDS發生了什么改變以及這些改變是何時發生的。林級信任允許一個林中的某個域的用戶訪問另一個林中的某個域中的資源。49本課小結WindowsServer2008引入許多新第2課WindowsServer2008組策略組策略通過自動完成很多與用戶和計算機管理相關的任務來簡化管理。可以使用組策略在客戶端按需安裝允許的應用程序，并使應用程序保持更新。在WindowsServer2008中，組策略管理控制臺（GPMC）是內置的。通過“添加功能向導”可以安裝GPMC。管理模板（ADM）文件用來描述基于注冊表的組策略設置。在WindowsServer2008中ADM文件被替換為XML格式的ADMX文件，使管理更加容易。50第2課WindowsServer2008組策略組策略通第2課WindowsServer2008組策略學習目標：了解組策略，安裝GPMC列舉WindowsServer2008引入的新的組策略設置和說明它們的功能編寫簡單的ADMX文件討論配置組策略時可能發生的各種問題以及如何解決它們51第2課WindowsServer2008組策略學習目3.2.1了解組策略組策略對象（GPO）中包含的組策略設置可以鏈接到OU，而OU既可以從父OU繼承設置，也可以阻斷繼承，并從它們自己鏈接的GPO獲得特定的設置。策略（特別是安全策略）可以設置為“不覆蓋”，使它們不能被阻斷或覆蓋，并強制子OU從父OU繼承設置。523.2.1了解組策略組策略對象（GPO）中包含的組策略設置WindowsServer2008引入了下列組策略設置：允許遠程啟動未列出的程序允許時間區域重定向在連接時始終顯示桌面磁盤診斷：配置自定義警告文本、配置執行級別不允許剪貼板重定向登錄時不自動顯示初始配置任務窗口登錄時不顯示服務器管理器頁面實施遠程桌面墻紙的刪除組策略管理編輯器……3.2.1了解組策略53WindowsServer2008引入了下列組策略設置：3.2.2規劃和管理組策略規劃組策略的部分工作是規劃組織結構。保持結構簡單，不要跨站點邊界鏈接OU和GPO，賦予OU和GPO有意義的名稱。充分了解組策略在客戶端是如何處理的。處理分如下兩個階段：核心處理：核心組策略引擎在初始階段處理。連接DC，是否有GPO被修改，以及哪些策略設置必須