组策略的规划、实施与管理
1. 管理模板与组策略对象(GPO)
在配置组策略时,可修改的各种选项在管理模板文件中指定。若有需要,系统管理员可以创建自定义的管理模板文件,包含更多配置选项。当修改GPO时,添加新管理模板的操作步骤如下:
- 步骤1:在组策略对象编辑器中,右键单击“管理模板”对象。
- 步骤2:选择“添加/删除模板”,此时会弹出“添加/删除模板”对话框。
2. 管理GPO
GPO具有模块化的优点,可应用于Active Directory中的多个不同对象和级别。但如果管理不当,这也可能成为其缺点。常见的管理功能之一是查找每个对象的所有Active Directory链接,可在GPO属性对话框的“链接”选项卡中进行操作。点击“立即查找”按钮,即可显示使用特定GPO的对象。
除了在组织单元(OU)上委派权限这一常见功能外,还可以设置关于修改GPO的权限。最佳方法是将用户添加到“组策略创建者/所有者”内置安全组,该组成员能够修改安全策略。
3. 过滤组策略
另一种保护GPO访问的方法是直接在GPO上设置权限,具体操作步骤如下:
- 步骤1:打开对象的属性对话框。
- 步骤2:切换到“组策略”选项卡。
- 步骤3:选择一个GPO,然后点击“属性”按钮,打开GPO属性对话框。
- 步骤4:在GPO属性对话框的“安全”选项卡中,可以查看设置在GPO本身上的特定权限。
权限选项包括:
| 权限选项 | 说明 |
| ---- | ---- |
| 完全控制 | 拥有对GPO的所有操作权限 |
| 读
)
