組策略(Group Policy)是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。 組策略包含了“計(jì)算機(jī)配置 | Windows 設(shè)置 | 安全設(shè)置”下的安全設(shè)置。您可將預(yù)先配置的安全模板導(dǎo)入策略，來完成對(duì)這些設(shè)置的配置。

　　應(yīng)用組策略

　　下列步驟顯示了如何應(yīng)用組策略，以及如何向“用戶權(quán)限分配”添加安全組。

　　• 將組策略應(yīng)用于組織單位或域

　　1.依次單擊“開始”、“管理工具”、“Active Directory 用戶和計(jì)算機(jī)”，打開“Active Directory 用戶和計(jì)算機(jī)”。

　　2.突出顯示相關(guān)域或組織單位，單擊“操作”菜單，選擇“屬性”。

　　3.選擇“組策略”選項(xiàng)卡。

　　注意：每個(gè)容器可應(yīng)用多個(gè)策略。這些策略的處理順序是從列表的底部向上。如果出現(xiàn)沖突，最后應(yīng)用的策略優(yōu)先。

　　4.單擊“新建”創(chuàng)建一個(gè)策略，并為其指定有實(shí)際意義的名稱，如“域策略”。

　　注意：?jiǎn)螕?ldquo;選項(xiàng)”按鈕可配置“禁止替代”設(shè)置。“禁止替代”是為每個(gè)單獨(dú)的策略配置的，而不是為整個(gè)容器;“阻止策略繼承”則是為整個(gè)容器配置的。如果“禁止替代”和“阻止策略繼承”設(shè)置發(fā)生沖突，“禁止替代”設(shè)置優(yōu)先。要配置“阻止策略繼承”，請(qǐng)選中 OU 屬性中的復(fù)選框。

　　組策略可自動(dòng)更新，但為了立即啟動(dòng)更新過程，可在命令提示符下使用下面的 GPUpdate 命令：

　　GPUpdate /force

　　向“用戶權(quán)限分配”添加安全組

　　1.依次單擊“開始”、“管理工具”、“Active Directory 用戶和計(jì)算機(jī)”，打開“Active Directory 用戶和計(jì)算機(jī)”。

　　2.突出顯示相關(guān) OU(如“成員服務(wù)器”)，單擊“操作”菜單，選擇“屬性”。

　　3.單擊“組策略”選項(xiàng)卡，選擇相關(guān)策略(如“成員服務(wù)器基準(zhǔn)策略”)，然后單擊“編輯”。

　　4.在“組策略對(duì)象編輯器”中，依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”，然后突出顯示“用戶權(quán)限分配”。

　　5.在右側(cè)窗格中，右鍵單擊相關(guān)用戶權(quán)限。

　　6.選中“定義這些策略設(shè)置”復(fù)選框，單擊“添加用戶和組”修改該列表。

　　7.單擊“確定”。

　　將安全模板導(dǎo)入組策略

　　下列步驟顯示了如何向組策略導(dǎo)入安全模板。

　　• 導(dǎo)入安全模板

　　1.依次單擊“開始”、“管理工具”、“Active Directory 用戶和計(jì)算機(jī)”，打開“Active Directory 用戶和計(jì)算機(jī)”。

　　2.突出顯示相關(guān)域或 OU，單擊“操作”菜單，選擇“屬性”。

　　3.選擇“組策略”選項(xiàng)卡。

　　4.突出顯示相關(guān)策略，單擊“編輯”。

　　5.依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”，然后突出顯示“安全設(shè)置”。

　　6.單擊“操作”菜單，選擇“導(dǎo)入策略”。

　　7.導(dǎo)航到 \Security Guide\Job Aids，選擇相關(guān)模板，單擊“打開”。

　　8.在“組策略對(duì)象編輯器”中，單擊“文件”菜單，選擇“退出”。

　　9.在容器屬性中，單擊“確定”。