【正文】 的作用，通過將GPO與所選的Active Directory系統(tǒng)容器站點、域和組織單位相關(guān)聯(lián)，實現(xiàn)組策略設(shè)置的具體應(yīng)用。 應(yīng)用架構(gòu)拓?fù)湓贏D域環(huán)境中，通過組策略可以對計算機(jī)和用戶組進(jìn)行高效集中化的管理。比如:誰曾經(jīng)訪問過哪個文件、哪些非法程序入侵了你的電腦等。2000及以后版本組策略中引入的一個安全機(jī)制。在此小型公司的網(wǎng)絡(luò)管理中，經(jīng)常會發(fā)現(xiàn)一些權(quán)限比較高的用戶私自從網(wǎng)上下載或者用自己的光盤、U盤之類的安裝軟件，除此之外，在工作時間里，員工會運行一些如旺旺、等軟件，降低了工作的效率，嚴(yán)重時會泄漏公司的重要信息，這些對于企業(yè)來說是不被允許的，但是各種規(guī)定都沒辦法完全禁止這些行為，以前通常是采用行政手段進(jìn)行限制，在了解了這些情況之后，我利用組策略的設(shè)置限制員工運行一些與工作無關(guān)的軟件，這樣即使他們安裝了其他不允許使用的軟件，也運行不了。這樣就方便了我在域控制器上統(tǒng)一部署軟件以及一些限制類的組策略的應(yīng)用到每臺域成員計算機(jī)上。根據(jù)此小型公司現(xiàn)狀和需求，通過和管理員的了解我最終利用組策略來實現(xiàn)以下應(yīng)用：* 使用組策略使員工部門的軟件統(tǒng)一部署* 使用組策略限制員工使用及安裝軟件* 通過查看事件日志觀察已設(shè)置的組策略審核策略是否應(yīng)用成功第4章 組策略應(yīng)用架構(gòu)設(shè)計 設(shè)計總體思路針對我這個小型企業(yè)的網(wǎng)絡(luò)拓?fù)鋱D，我重點把網(wǎng)絡(luò)管理工作放到了工作區(qū)。圖31 企業(yè)網(wǎng)絡(luò)拓?fù)湓O(shè)計圖 企業(yè)應(yīng)用需求分析域環(huán)境下，所有的網(wǎng)絡(luò)資源，包括用戶，都是在域控制器上維護(hù)，便于集中管理，所有用戶只要登錄到域,在域內(nèi)均能進(jìn)行身份驗證，管理人員可以較好的管理計算機(jī)資源，管理網(wǎng)絡(luò)的成本大大降低防止公司員工在客戶端上亂裝軟件，能夠增強(qiáng)客戶端安全性，減少客戶端故障，降低維護(hù)成本。工作區(qū)每個部門一個VLAN，主要目的是為了增加各部門資料的安全性，為了讓每個部門的成員至可以訪問本部門的網(wǎng)絡(luò)資源。具體網(wǎng)絡(luò)規(guī)劃為員工宿舍樓一個VLAN，生產(chǎn)部門一個VLAN，領(lǐng)導(dǎo)辦公室一個VLAN，工作區(qū)每個部門分別劃分一個VLAN。整個公司主要分為員工宿舍樓、工作區(qū)、生產(chǎn)部門以及體育館四個部分。例如：軟件分發(fā)；軟件限制；安全設(shè)置（如密碼策略、管理模板下相關(guān)設(shè)置等）；基于注冊表的設(shè)置（管理模板）；IE維護(hù)；脫機(jī)文件夾；漫游配置文件和文件夾重定向；計算機(jī)和用戶腳本。(Group Policy Objec，組策略對象):在域控制器上針對站點，域或OU來配置組策略，其中域策略內(nèi)的配置應(yīng)用到所有域內(nèi)計算機(jī)和用戶上，OU對應(yīng)到該OU內(nèi)，如果本機(jī)沖突則以域或OU組策略的配置優(yōu)先，本機(jī)無效。組策略內(nèi)包含計算機(jī)配置與用戶配置兩部分，其中計算機(jī)配置只對計算機(jī)環(huán)境有影響，而用戶配置只對使用者工作環(huán)境有影響。其實簡單地說，組策略設(shè)置就是在修改注冊表中的配置。譬如，可以為特定用戶或用戶組定制可用的程序、桌面上的內(nèi)容，以及“開始”菜單選項等，也可以在整個計算機(jī)范圍內(nèi)創(chuàng)建特殊的桌面配置。組策略加強(qiáng)了管理員通過活動目錄數(shù)據(jù)庫在站點、域、或組織單位中配置用戶和計算機(jī)的能力，在Windows Server 2008 中，通過應(yīng)用組策略，管理員可以很方便地管理Active Directory 中的計算機(jī)和用戶的工作環(huán)境，例如，用戶桌面環(huán)境、計算機(jī)啟動/關(guān)機(jī)與用戶登陸/注銷時所執(zhí)行的腳本文件、軟件安裝、安全設(shè)置等。有些應(yīng)用程序編程接口(API)例如 Active Directory 服務(wù)接口(ADSI)允許開發(fā)者訪問這些協(xié)議。(7)互操作性。不僅可以定義對目錄中每個對象的訪問控制，還可定義對每個對象的每個屬性的訪問控制。在 Windows 2008 操作系統(tǒng)中，用戶身份驗證和訪問控制的管理都與 Active Directory 完全結(jié)合在一起，這是該系統(tǒng)的一項關(guān)鍵性安全功能。因為這些域控制器包含同樣的目錄數(shù)據(jù)，所以，如果域內(nèi)的一個域控制器速度變慢、停止或出現(xiàn)故障，同一域內(nèi)的其他域控制器即可提供必要的目錄訪問功能。Active Directory使用多主機(jī)復(fù)制，使您可以更新任何域控制器中的目錄。在只有一個域的最簡單的網(wǎng)絡(luò)結(jié)構(gòu)中，該域既是一個目錄樹，又是一個目錄林。Active Directory包括一個或多個域，每個域均有一個或多個域控制器，由此，您能夠?qū)δ夸涍M(jìn)行自由擴(kuò)展，從而滿足所有網(wǎng)絡(luò)的需求。GPO設(shè)置決定了對目錄對象和域資源的訪問權(quán)限、用戶可使用的域資源（如應(yīng)用程序），以及這些域資源針對其用途的配置方式。 組策略是在初始化時應(yīng)用于計算機(jī)或用戶的配置設(shè)置。例如，您可能會為User對象添加Purchase Authority屬性，然后將每個用戶的購買權(quán)限額保存為用戶帳戶的一部分。Active Directory是可擴(kuò)展的；也就是說，管理員既可以在架構(gòu)中添加新的對象類別，也可在原有的對象類別中添加新屬性。而且,使用全局編錄優(yōu)化了查找信息的操作。用戶和管理員如果要通過對象屬性快速查找網(wǎng)絡(luò)中的對象，可使用“開始”菜單中的“查找”命令、桌面上的“網(wǎng)上鄰居”圖標(biāo)或者是 Active Directory 用戶和計算機(jī)管理單元。這樣，在TCP/IP網(wǎng)絡(luò)計算機(jī)上運行的進(jìn)程即可相互識別并進(jìn)行連接。 活動目錄的優(yōu)點與DNS 集成活動目錄使用域名系統(tǒng)(DNS)。(3)桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。(2)用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按省實施組管理策略。 活動目錄功能活動目錄(Active Directory)主要提供以下功能：(1)基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS、WINS、DHCP、證書服務(wù)等。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進(jìn)行合乎邏輯的分層組織。（Active Directory不能運行在Windows Web Server上，但是可以通過它對運行Windows Web Server的計算機(jī)進(jìn)行管理。對于一些小型的企業(yè)來說，他們沒有過多的時間監(jiān)督每一位員工，沒有過的時間查看每一臺電腦，那么他們是如何解決這種現(xiàn)狀的呢？有一種技術(shù)，它可以幫助沒有過多資金的企業(yè)適當(dāng)?shù)亟鉀Q內(nèi)部網(wǎng)絡(luò)管理與內(nèi)部員工的辦公環(huán)境的安全，那就是“組策略”技術(shù)。為應(yīng)對這種外憂內(nèi)患的局面，反病毒、防火墻、入侵檢測，在一定程度上排除了外憂?；ヂ?lián)網(wǎng)里大量存在的一些不正當(dāng)行為，如黑客攻擊、計算機(jī)病毒、內(nèi)部泄密、信息丟失、篡改、銷毀、木馬程序、等等，總是讓我們感覺許多的無奈。 The group policy。, with its superior characteristic, well received by the enterprise39。關(guān)鍵詞：集中管理控制；