一、引言

    組策略（Group Policy，簡稱GP）是系統管理員為計算機和用戶定義的，用來控制應用程序、系統設置和管理模板的一種機制，也是一種用于管理網絡內用戶設置和計算機設置的管理工具。組策略包括影響計算機的“計算機配置”策略設置和影響用戶的“用戶配置”策略設置。本文將介紹如何配置和部署組策略。

二、準備工作

    （一）檢查網卡配置，是否為橋接（Bridged）。橋接網卡可以實現虛擬機所使用的網卡為真實存在的物理適配卡。直接點擊菜單欄“VM”，在下拉菜單中選擇“Setting”打開的窗口中選擇“Network adapt”，在右邊窗格中選擇“Bridged”。

    （二）設置虛擬機IP地址，采用靜態的IP地址。將虛擬機的Windows Server 2008 Active Directory域控制作為服務器，服務器需要有靜態的IP地址。打開“控制面板”，選擇“網絡和共享中心”，右擊打開的菜單中選擇“打開”，選擇“本地連接的查看狀態”，在打開的窗口中選擇“屬性”，在窗格中選中“Internet協議版本4（TCP/IPv4）”，點擊“屬性”，打開的窗口中選擇“使用下面的IP地址”，例如IP地址：192.168.0.1，子網掩碼：255.255.255.0。

    （三）安裝Active Directory域服務。點擊“開始”，打開的菜單中選擇“管理工具”，在菜單中選擇“服務器管理器”，在右邊窗格中選擇“添加角色”，對窗格中的“Active Directory域服務”打勾，直接按照每一步默認操作安裝Active Directory域服務。

三、部署組策略

    （一）配置Active Directory域控制器。點擊“開始”，在搜索窗中輸入“dcpromo”。在彈出安裝向導后，在“選擇某一部署配置”中選擇“在新林中新建域”，點擊下一步，在“命名林根域”中輸入域名，例如“corp.com”，點擊下一步，在“設置林功能級別”和“設置域功能級別”中，按照默認點擊下一步，“數據庫、日志文件和SYSVOL的位置”可以更改文件存放的目錄，不更改的話，可按照默認，點擊下一步，“目錄服務還原模式的Administrator密碼”，此密碼必須滿足復雜性的要求，密碼應該包括字母大小寫、數字和特殊符號，設置完密碼后單擊下一步，在彈出的警告窗口中，單擊“是”，按下一步完成Active Directory域控制器配置。

    （二）創建Active Directory域組策略對象。選中域名(如corp.com)，右擊，在彈出的菜單中選擇“在這個域中創建GPO并在此處鏈接”，彈出的對話框中名稱用“域組策略對象”命名，單擊“確定”。Active Directory域組策略的應用對象是連接到域的所有計算機和域中的所有用戶。

    （三）配置域組策略對象。新創建的策略在默認情況下沒有進行任何配置，通過編輯組策略可以實現某些功能及保證安全。下面以編輯新建的策略為例介紹如何配置組策略。選擇“域組策略對象”，右擊，在菜單中選擇“編輯”，則進入“組策略管理編輯器”窗口。在該窗口中，根據需要對組策略進行編輯即可。

    1.部署帳戶策略。賬戶策略包括密碼策略、帳戶鎖定策略、Kerberos策略。密碼策略滿足高安全性環境中對密碼的要求。賬戶鎖定策略可以鎖定相應賬戶。Kerberos策略用于域用戶的賬戶

    （1）密碼策略。在“組策略管理編輯器”窗口，依次展開“計算機配置”→“策略”→“Windows設置”→“安全設置”→“帳戶策略”→“密碼策略”，右邊窗格中選擇“密碼必須符合復雜性要求”，右擊，在菜單中選擇“屬性”，將“定義這個策略設置”打勾，并選擇“已啟用”，單擊確定。同樣采用右擊，在菜單中選擇“屬性”的方法，分別設置“密碼長度最小值為6個字符”、“密碼最短使用期限為7天”、“密碼最長使用期限為30天”、“強制密碼歷史為3個記住的密碼”、“用可還原的加密來儲存密碼設置為已啟用”。

    （2）帳戶鎖定策略。在“組策略管理編輯器”窗口，依次展開“計算機配置”→“策略”→“Windows設置”→“安全設置”→“帳戶策略”→“帳戶鎖定策略”，右邊窗格中選擇“復位帳戶鎖定計算機器”，右擊，在菜單中選擇“屬性”，將“定義這個策略設置”打勾，并設置“在30分鐘之后復位帳戶鎖定計數器”，單擊確定。同樣采用右擊，在菜單中選擇“屬性”的方法，分別設置“帳戶鎖定時間為30分鐘”、“帳戶鎖定閾值為3次無效登錄”。

    （3）Kerberos策略。在“組策略管理編輯器”窗口，依次展開“計算機配置”→“策略”→“Windows設置”→“安全設置”→“帳戶策略”→“Kerberos策略”，右邊窗格中選擇“服務票證最長壽命”，右擊，在菜單中選擇“屬性”，將“定義這個策略設置”打勾，并設置“票證過期時間為600分鐘”，單擊確定。同樣采用右擊，在菜單中選擇“屬性”的方法，分別設置“用戶票證續訂最長壽命為34天”、“用戶票證最長壽命為10個小時”。

    2.部署審核策略。在“組策略管理編輯器”窗口，依次展開“計算機配置”→“策略”→“Windows設置”→“安全設置”→“本地策略”→“審核策略”，右邊窗格中選擇“審核策略更改”，右擊，在菜單中選擇“屬性”，將“定義這些策略設置”打勾，并將“審核這些操作成功選項”打勾，單擊確定。同樣采用右擊，在菜單中選擇“屬性”的方法，分別設置“用戶票證續訂最長壽命為34天”、“用戶票證最長壽命為10個小時”。

四、結束語

    組策略將系統重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達到方便管理計算機的目的，利用組策略，管理可有效地實施安全設置，強制實施IT策略，通過組策略管理控制臺統一管理，提高管理員的工作效率。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：淺談WindowsServer2008活動目錄的組策略部署

本文網址：http://www.guhuozai8.cn/html/consultation/1083949930.html