浅谈WindowsServer2008活动目录的组策略部署

一、引言

    组策略（Group Policy，简称GP）是系统管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制，也是一种用于管理网络内用户设置和计算机设置的管理工具。组策略包括影响计算机的“计算机配置”策略设置和影响用户的“用户配置”策略设置。本文将介绍如何配置和部署组策略。

二、准备工作

    （一）检查网卡配置，是否为桥接（Bridged）。桥接网卡可以实现虚拟机所使用的网卡为真实存在的物理适配卡。直接点击菜单栏“VM”，在下拉菜单中选择“Setting”打开的窗口中选择“Network adapt”，在右边窗格中选择“Bridged”。

    （二）设置虚拟机IP地址，采用静态的IP地址。将虚拟机的Windows Server 2008 Active Directory域控制作为服务器，服务器需要有静态的IP地址。打开“控制面板”，选择“网络和共享中心”，右击打开的菜单中选择“打开”，选择“本地连接的查看状态”，在打开的窗口中选择“属性”，在窗格中选中“Internet协议版本4（TCP/IPv4）”，点击“属性”，打开的窗口中选择“使用下面的IP地址”，例如IP地址：192.168.0.1，子网掩码：255.255.255.0。

    （三）安装Active Directory域服务。点击“开始”，打开的菜单中选择“管理工具”，在菜单中选择“服务器管理器”，在右边窗格中选择“添加角色”，对窗格中的“Active Directory域服务”打勾，直接按照每一步默认操作安装Active Directory域服务。

三、部署组策略

    （一）配置Active Directory域控制器。点击“开始”，在搜索窗中输入“dcpromo”。在弹出安装向导后，在“选择某一部署配置”中选择“在新林中新建域”，点击下一步，在“命名林根域”中输入域名，例如“corp.com”，点击下一步，在“设置林功能级别”和“设置域功能级别”中，按照默认点击下一步，“数据库、日志文件和SYSVOL的位置”可以更改文件存放的目录，不更改的话，可按照默认，点击下一步，“目录服务还原模式的Administrator密码”，此密码必须满足复杂性的要求，密码应该包括字母大小写、数字和特殊符号，设置完密码后单击下一步，在弹出的警告窗口中，单击“是”，按下一步完成Active Directory域控制器配置。

    （二）创建Active Directory域组策略对象。选中域名(如corp.com)，右击，在弹出的菜单中选择“在这个域中创建GPO并在此处链接”，弹出的对话框中名称用“域组策略对象”命名，单击“确定”。Active Directory域组策略的应用对象是连接到域的所有计算机和域中的所有用户。

    （三）配置域组策略对象。新创建的策略在默认情况下没有进行任何配置，通过编辑组策略可以实现某些功能及保证安全。下面以编辑新建的策略为例介绍如何配置组策略。选择“域组策略对象”，右击，在菜单中选择“编辑”，则进入“组策略管理编辑器”窗口。在该窗口中，根据需要对组策略进行编辑即可。

    1.部署帐户策略。账户策略包括密码策略、帐户锁定策略、Kerberos策略。密码策略满足高安全性环境中对密码的要求。账户锁定策略可以锁定相应账户。Kerberos策略用于域用户的账户

    （1）密码策略。在“组策略管理编辑器”窗口，依次展开“计算机配置”→“策略”→“Windows设置”→“安全设置”→“帐户策略”→“密码策略”，右边窗格中选择“密码必须符合复杂性要求”，右击，在菜单中选择“属性”，将“定义这个策略设置”打勾，并选择“已启用”，单击确定。同样采用右击，在菜单中选择“属性”的方法，分别设置“密码长度最小值为6个字符”、“密码最短使用期限为7天”、“密码最长使用期限为30天”、“强制密码历史为3个记住的密码”、“用可还原的加密来储存密码设置为已启用”。

    （2）帐户锁定策略。在“组策略管理编辑器”窗口，依次展开“计算机配置”→“策略”→“Windows设置”→“安全设置”→“帐户策略”→“帐户锁定策略”，右边窗格中选择“复位帐户锁定计算机器”，右击，在菜单中选择“属性”，将“定义这个策略设置”打勾，并设置“在30分钟之后复位帐户锁定计数器”，单击确定。同样采用右击，在菜单中选择“属性”的方法，分别设置“帐户锁定时间为30分钟”、“帐户锁定阈值为3次无效登录”。

    （3）Kerberos策略。在“组策略管理编辑器”窗口，依次展开“计算机配置”→“策略”→“Windows设置”→“安全设置”→“帐户策略”→“Kerberos策略”，右边窗格中选择“服务票证最长寿命”，右击，在菜单中选择“属性”，将“定义这个策略设置”打勾，并设置“票证过期时间为600分钟”，单击确定。同样采用右击，在菜单中选择“属性”的方法，分别设置“用户票证续订最长寿命为34天”、“用户票证最长寿命为10个小时”。

    2.部署审核策略。在“组策略管理编辑器”窗口，依次展开“计算机配置”→“策略”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”，右边窗格中选择“审核策略更改”，右击，在菜单中选择“属性”，将“定义这些策略设置”打勾，并将“审核这些操作成功选项”打勾，单击确定。同样采用右击，在菜单中选择“属性”的方法，分别设置“用户票证续订最长寿命为34天”、“用户票证最长寿命为10个小时”。

四、结束语

    组策略将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的，利用组策略，管理可有效地实施安全设置，强制实施IT策略，通过组策略管理控制台统一管理，提高管理员的工作效率。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：浅谈WindowsServer2008活动目录的组策略部署

本文网址：http://www.toberp.com/html/consultation/1083949930.html