Windows_Server_2008的组策略

体验Windows Server 2008的组策略

活动目录是Windows Server 2008的核心，而使用活动目录的目的是进行用户的统一化的管理，其中组策略是实施管理的重要手段之一。在Windows Server 2008中组策略不仅在功能上得到了加强，而且在操作和配置上也更人性化。现在我们可以抛开某些第三方用户行为管理软件，在Windows Server 2008的组策略里就可以轻松进行设置、限制和管理。下面笔者通过二个案例来介绍一下Windows Server 2008组策略的强大功能吧。

案例1：给公司不同部门设置不同的密码策略

    我们可能会碰到过域的统一密码策略会给用户带来不便的情况，比如领导层的电脑里资料比较机密，需要设置复杂性密码防止电脑被其他人登录。而普通办公文员就不需要设置复杂难记的密码。以前在Windows Server 2003中是无法实现的，现在Windows Server 2008可以通过粒度化的密码策略来达到不同组使用不同密码策略的目的，这项人性化的设置可以让我们轻松解决以上问题。下面以设置领导层的密码策略为例讲解一下具体操作过程。

第一步：把领导层的经理级别的帐号加入到Managers组里（此组必须是安全的全局组因为所创建的PSO<密码设置对象>只能应用在安全的全局组上）（如图1所示）。

第二步：提升域功能级别到Windows Server 2008（由于粒度化的密码策略只支持Windows Server 2008，因此在设置密码策略之前必须把域功能级别提升到Windows Server 2008）

1.点击“开始”→“管理工具”→“服务器管理器”。打开服务器管理器，接着依次展开“角色”→“Active Directory用户和计算机”→“contoso.com”。

2.右击contoso.com，然后选择“提升域功能级别”。设置功能级别为“Windows Server 2008”，点击“提升”（如图2所示）。

第三步：为Managers组创建PSO（密码设置对象），设置密码策略的相关属性

1.点击“运行”，输入“adsiedit.msc”，然后点击确定。

2.连接到“默认命名上下文”（如图3图4所示）。

3.展开CN=System,DC=contoso,DC=com，右击CN=Password Settings Container，选择“新建”→“对象”（如图5所示）。

4.出现“创建对象”向导，确认“msDS-PasswordSettings”被选择，然后点击“下一步”（如图6所示）。

5.在图7的界面里我们要按照下面的列表依次设定不同属性指定值（时间采取d:hh:mm:ss的格式），最后点击“完成”来结束对象的创建。

 

属性名称和描述

可接受的值范围

本例示值

cn：值

 

Managers

msDS-PasswordSettingsPrecedence ：

密码设置优先级

大于 0

10

msDS-PasswordReversibleEncryptionEnabled：用户帐户的密码可还原的加密状态

FALSE/TRUE（推荐：FALSE）

FALSE

msDS-PasswordHistoryLength ：

用户帐户的密码历史长度

0 到 1024

24

msDS-PasswordComplexityEnabled：

 用户帐户的密码复杂性状态

FALSE/TRUE（推荐：TRUE）

TRUE

msDS-MinimumPasswordLength ：

用户帐户的最短密码长度

0 到 255

10

msDS-MinimumPasswordAge ：

用户帐户的最短密码期限

（无）

00:00:00:00 到 msDS-MaximumPasswordAge值

1:00:00:00（1天）

msDS-MaximumPasswordAge ：

用户帐户的最长密码期限

（永不过期）

msDS-MinimumPasswordAge 值到（永不过期）

不能将 msDS-MaximumPasswordAge 设置为零

15:00:00:00（15天）

msDS-LockoutThreshold：

用户帐户锁定的锁定阈值

0 到 65535

10

msDS-LockoutObservationWindow：

用户帐户锁定的观察窗口

（无）

00:00:00:01 到 msDS-LockoutDuration值

0:00:30:00（30分钟）

msDS-LockoutDuration：

锁定用户帐户的锁定持续时间

（无）

（永不过期）

msDS-LockoutObservationWindow 值到（永不过期）

0:00:30:00（30分钟）

 

 

第四步：应用PSO（密码设置对象）到Managers组

1.在图8界面展开CN=Password Settings Container，右击CN=Managers对象，选择“属性”，在列表属性中选择msDS-PSOAppliesTo，点击“编辑”。

2.在之后弹出的对话框里点击“添加Windows账户”。然后在“选择用户、计算机和组”对话框中输入Managers，点击“确定”。最后点击“确定”关闭Adsiedit.msc。

通过以上的设置，Managers组内的领导层就能以此密码策略来设置登录密码了。

案例2：通过组策略首选项为公司创建一个共享网络磁盘

    随着公司业务量的不断扩大，数据量也相应的庞大起来。但为公司所有的员工电脑更换大容量的存储设备也不是一件容易的事情。而网络共享存储却可以解决数据存储空间不足以及数据安全二方面大问题，因此深受中小企业的推崇。

    现在我们可以通过组策略首选项功能，为公司存储容量低于50G的电脑自动创建一个网络磁盘，这样不仅可以充分的利用网络存储空间，还能节约相应的网络资源。

第一步：安装组策略组件

    对于通过Windows Server 2003升级的用户来说默认情况下并没有安装组策略组件，所以我们应该先打开服务器管理器，选择“功能”栏，在右边点击添加功能，在图9的弹出界面里，选中最下面的“组策略管理”进行组策略组件的安装。

第二步：设置共享文件夹

    我们在DC-1的网络存储设备里创建一个共享名为Public的文件夹。

第三步：创建组策略对象

    打开“管理工具”→“组策略管理”，点击contoso.com，右击选择“在这个域中创建GPO并在此链接”。把此GPO命名为“IntelligenceDriveMappingPolicy”。（如图10所示）

第四步：编辑此组策略对象

1.选中” IntelligenceDriveMappingPolicy”，右击选择“编辑”。

2.依次展开“用户配置”→“首选项”→“Windows设置”，选择“驱动器映射”→“新建”→“驱动器映射”（如图11所示）。

3.在图12的界面中，操作栏选择“创建”，在位置中输入\\dc-01\Public，驱动器号使用Q，点击“显示此驱动器”。

4.点击“公用”选项卡，选择“在登录用户的安全上下文中运行（用户策略选项）”。勾选“项目级目标”，点击“目标”。

5.点击“新建项目”，在下拉列表中选择“磁盘空间”。按F8快捷键，可以看到条件变为“不大于或等于”。设置可用磁盘空间为50G，驱动器号选择“系统”。最后点击“确定”完成设置。（如图13所示）

    其实首选项提供了多达20个组策略扩展，可以管理驱动器映射、注册表设置、本地用户和组、服务、文件和文件夹，不需要我们再学习脚本语言。在大多数首选项中，用户界面可以模仿相关的最终用户界面来配置这些设置，从而使配置更加直观，想想以前为了分发一些自定义的设置，需要自己写脚本，甚至要使用Policy maker这样的工具自定义ADM管理模板文件，而现在只需要我们点点鼠标即可完成。有兴趣的读者不妨多研究一下，它会给我们统一化管理带来更多便捷。