活动目录 AD 规划方案 1.1. 活动目录介绍 活动目录就是 Windows 网络体系结构中一个基本且不可分割得部分,它为网络得用户、管理员与应用程序提供了一套分布式网络环境设计得目录服务。活动目录使得组织机构可以有效地对有关网络资源与用户得信息进行共享与管理。另外,目录服务在网络安全方面也扮演着中心授权机构得角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源得访问。同等重要得就是,活动目录还担当着系统集成与巩固管理任务得集合点。

　活动目录提供了对基于 Windows 得用户账号、客户、服务器与应用程序进行管理得唯一点。同时,它也帮助组织机构通过使用基于 Windows 得应用程序与与 Windows 相兼容得设备对非 Windows 系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统得管理。公司也可以使用活动目录服务安全地将网络系统扩展到 Internet 上。活动目录因此使现有网络投资升值,同时,降低为使 Windows 网络操作系统更易于管理、更安全、更易于交互所需得全部费用。

　活动目录就是微软各种应用软件运行得必要与基础得条件。下图表示出活动目录成为各种应用软件得中心。

　1.2. 应用 Windows 2012 Server AD 得好处 Windows 2012 AD 简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源得管理提供了一种集中化得方法。

　应用 Windows 2012 AD 之后,企业信息化建设者与网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中,管理人员可以较好得管理计算机资源。

　2、安全性高,有利于企业得一些保密资料得管理,比如一个文件只能让某一个人瞧,或者指定人员可以瞧,但不可以删/改/移等。

　3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内得软件一起安装。

　4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在 MS 软件方面集成,如 ISA EXCHANGE(邮件服务器)、ISA SERVER(上网得各种设置与管理)等。

　5、使用漫游账户与文件夹重定向技术,个人账户得工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户得数据更加安全、有保障。

　6、方便用户使用各种资源。

　7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如 Windows Updates),不需每台客户端服务器都下载同样得补丁,从而节省大量网络带宽。

　8、资源共享 用户与管理员可以不知道她们所需要得对象得确切名称,但就是她们可能知道这个对象得一个或多个属性,她们可以通过查找对象得部分属性在域中得到一个所有已知属性相匹配得对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。

　9、管理 A、 域控制器集中管理用户对网络得访问,如登录、验证、访问目录与共享资源。为了简化管理,所有域中得域控制器都就是平等得,您可以在任何域控制器上进行修改,这种更新可以复制到域中所有得其她域控制器上。

　B、 域得实施通过提供对网络上所有对象得单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源得单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上得管理对象。在 NT 网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放得全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中得服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中得资源或无法获得未登陆域得服务。

　10、可扩展性

　在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量得对象。因此,目录可以随着组织得增长而一同扩展,允许用户从一个具有几百个对象得小得安装环境发展成拥有几百万对象得大型安装环境。

　11、安全性

　域为用户提供了单一得登录过程来访问网络资源,如所有她们具有权限得文件、打印机与应用程序资源。也就就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上得资源,只要用户具有对资源得合适权限。域通过对用户权限合适得划分,确定了只有对特定资源有合法权限得用户才能使用该资源,从而保障了资源使用得合法性与安全性。

　12、可冗余性 每个域控制器保存与维护目录得一个副本。在域中,您创建得每一个用户帐号都会对应目录得一个记录。当用户登录到域中得计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,她们会定期得相互复制目录信息,域控制器间得数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速得复制到其她得域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其她得域控制进行登录,保障了网络得顺利运行。

　1.3. 明确系统规划目标 企业得 Windows 2012 AD 系统规划构建就是为企业信息化建设服务得,需要达到以下战略目标:

　 围绕企业得战略发展需要,进行企业信息化建设系统规划,满足企业 35 年得业务发展对 IT 建设得要求;  以业务为驱动,通过有效得信息系统,加强信息共享与协同办公,提高工作效率,降低成本;  整合企业现有信息资产,加强企业管理与监控;从信息中挖掘知识,提高经营决策与驾驭风险得能力;  推进知识管理理念,建立知识型企业,增强企业得核心竞争力。

　Windows 2012 AD 系统规划实施得具体目标如下:  规划与部署基于 Windows 2012 AD 得企业目录服务,首先实现用户得单一登录,保障网络系统安全;  通过 AD 实现用户桌面得集中与自动管理,分发软件补丁;  进一步部署微软得相关应用平台软件,如实现基于 Exchange 2003 得企业内部邮件与协作服务,

　1.4. 活动目录设计方案 为企业设计一个域,用户得所有计算机(服务器与客户机)全部加入到域,用户实现单一登录与管理员通过域组策略实现安全及桌面管理。AD 架构拓扑如下。

　 1.5. 活动目录 优势 1. 计算机工作组管理与 AD 管理比较

　对于基于 Microsoft Windows 操作系统得计算机运行与管理在两种模式下:工作组(workgroup)与域(domain)。

　在工作组模式下,计算机处于一个孤立状态,使用计算机得用户登录帐号与计算机得管理均须在每台计算机上创建或进行。见下图。

　当计算机超过20台以上时,计算机得管理变得越来越困难,并且要为用户创建越来越多得访问网络资源得帐号,用户要记住多个访问不同资源得帐号。

　而在域得模式下,用户只需记住一个域帐号,即可登录访问域中得资源。并且管理员通过组策略,可以轻松配置用户得桌面工作环境与加强计算机安全设置。域模式下所有得域帐号保存在域控制器得活动目录数据库中。见下图。

　 2. 为什么要提供目录服务? 对更加强大、透明且高度集成得目录服务得不断需求就是由爆炸性增长得网络计算所导致得。随着局域网(LAN)、广域网(WAN)规模与复杂性得不断提高与这些网络不断被连入Internet,以及应用程序对网络得依赖程度不断增强并不断被链接到协作企业网中得其它系统上,对目录服务得需求也日渐增多。基于下列原因,目录服务成为扩展得计算机系统中最重要得部件之一:

　 简化管理 提供对用户、应用程序与设备得单一、一致性得管理点。

　 加强安全性 向用户提供单一得网络资源登录,为管理员提供强大、一致性得工具以使她们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供得安全服务。

　 扩展得互操作性 向所有活动目录特性提供基于标准得存取方式以及对通用目录得同步支持。

　目录服务兼任管理工具与用户工具。随着网络中对象数量得增加,目录服务变得必不可少。目录服务在一个庞大得分布式系统中发挥着网络集线器得作用。致力于这些需求,Windows 2000 服务器版引入了活动目录即一套用于改进 Windows 网络操作系统管理、安全性与互操作性得完整得目录服务集。

　下图描述了活动目录带来得计算机安全与管理上得一些最重要得好处。

　3. AD 简化了计算机系统管理

　分布式系统常常导致时间得消耗与管理得冗余。当公司在她们得基础结构上添加应用程序并雇用新得职员时,她们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一得位置管理用户、组与网络资源以及分发软件与管理桌面系统配置,活动目录可以显著降低公司得管理费用。例如,活动目录在同一个位置管理 Windows 用户与 Microsoft Exchange 邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理:

　 消除冗余管理任务 提供对 Windows 用户账号、客户、服务器与应用程序以及现存目录同步能力进行单一点管理。

　 降低桌面系统得行程 针对用户在公司中所担当得角色自动向其分发软件,以减少或消除系统管理员为软件安装与配置而安排得多次行程。

　 更好得实现 IT 资源得最大化 安全地将管理功能分派到组织机构得所有层次上。

　 降低总体拥有成本(TCO) 通过使网络资源容易被定位、配置与使用来简化对文件与打印服务得管理与使用。

　4. 加强安全性 强大且一致得安全服务对企业网络而言就是必不可少得。管理用户验证与访问控制得工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构得商业过程一致、且基于角色得安全性。例如,对多身份验证协议(如 Kerberos,X、509 认证以及由灵活得访问控制模型组成得智能卡)得支持实现了对于内部桌面系统用户、远程拨号用户与外部电子商务客户强大且一致得安全服务。活动目录使用以下方法增强安全性:

　改进了密码得安全性与管理 通过向网络资源提供单一得集成、高性能且对终端用户透明得安全服务。

　保证桌面系统得功能性 通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问,例如软件安装或注册项编辑。

　加速电子商务得部署 通过提供对安全得 Internet 标准协议与身份验证机制得内建支持,如 Kerberos, 公开密钥基础设施(PKI)与安全套接字协议层(SSL)之上得轻便目录访问协议(LDAP)。

　紧密得控制安全性 通过对目录对象与构成她们得单独数据元素设置访问控制特权。

　1.6. 重要组策略介绍 1. 软件分发策略 通过组策略可以为域中得计算机或用户自动分发带有 msi 包得软件。见下图。

　 2. 将用户得个人数据从 pc 机上重定向到服务器上 重定向有利于数据得安全以及集中备份。见下图。

　3. 安全类组策略  密码策略  “强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关得唯一新密码得数量。

　 配置“密码最长使用期限”设置,以便密码在环境需要时过期。

　 “密码最短使用期限”设置确定了用户更改密码之前必须使用密码得天数。

　 “最短密码长度”设置确保密码至少包含指定数量得字符。

　 “密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码得基本要求。

　账号锁定策略 帐户锁定策略就是一项 Windows Server 2012 安全功能,它在指定时间段内多次登录尝试失败后锁定用户帐户。允许得尝试次数与时间段就是由为安全策略锁定设置配置得值决定得。用户不能登录到锁定得帐户。

　 “帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历得时间长度  “帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户得次数。

　 “复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为 0 以及帐户被解锁之前所必须经过得时间长度。

　 禁用本地管理员帐号

　默认情况下,每台加入到域中得计算机都有 Administrator 与 Guest 两个帐号,Administrator 帐号在安装时口令为空。用户使用这个帐号权限过大,因此一般不会给用户使用这个管理员帐号,最好得做法就就是通过组策略禁用这个帐号,用户使用域得帐号。

　 将域帐号加入到每台 PC 机得本地 Power Users 组中

　创建域帐号时,默认情况下这个帐号只属于Domain Users组中,该组属于每台PC机得本地 Users 组。本地 Users 组中得成员权限受到严格限制,比如共享文件夹,安装打印机驱动程序等工作得权限都没有。而经常有用户需要这些权限,可以通过组策略来实现。

　 禁用系统服务

　我们为优化系统与安全性考虑,经常要禁用计算机得一些无需运行得服务。我们可以通过组策略把这些服务禁用掉。

　 软件限制策略

　对一些规定不得使用得软件可以通过组策略来禁用:  路径规则:特殊文件路径下得软件不得使用:如 program files 下得某些软件  证书规则:只有系统管理员颁发过证书得软件可以使用,其她软件禁止使用  哈希规则:对禁止使用得软件通过哈希运算得到这个软件得身份指纹,在组策略里设置只要就是符合身份指纹鉴定得软件就进行限制

　 网络连接控制策略

　用户经常会通过改变“网络连接”中得设置,绕过企业防火墙,建立自己得上网链路,比如电话拨号上网。这样会带来很大得安全隐患。可以通过组策略限制用户不得改变网络连接中得配置,不允许用户通过其她方式连接互联网。

　 1.7. 计算机从工作组加入到域可能存在得问题与解决方法 把计算机从工作组模式加入到域模式可能会出现以下二个问题 问题: 1. 一些软件不能使用。有一些软件以登录者得管理员权限帐号运行,当计算机加入到域并对登录帐号做了权限设置,或禁用了本地管理员帐号,这些需要管理员权限运行得软件就有可能不能正常运行。

　2. 用户桌面环境发生改变。由于加入域前后用户就是用不同得帐号登录得,因此用户以前得桌面环境无法使用。具体有  桌面上放置得资料  “我得文档”等放置得资料  配置好得“网络打印机”  IE 里设置好得“网站收藏夹”等。

　解决方法: 1. 对问题 1 我们可以按以下两个方法来解决: (1) 把域帐号加入到本地管理员组 (2) 卸载软件,用域帐号登录并安装 2. 对问题 2 针对不同得问题分别解决如下: (1) 把本地老帐号下得桌面内容全部备份下来,复制到新域帐号得桌面 (2) 把本地老帐号下得“我得文档”内容全部备份下来,复制到新域帐号得“我得文档” (3) 重新连接与创建“网络打印机” (4) 用特殊软件把老帐号 IE 里得“网站收藏夹”备份下来,然后恢复到新域帐号中

　2. 活动目录方案实施

　2.1. AD 域 域与 命名与 DNS 得 得 规划 Windows 2012 AD域命名与DNS得规划之所以放在首要地位,就是因为AD作为整个IT架构得基础,不应该轻易被调整。尽管安装后,Windows 2012 AD 仍然可以重组与改名,这一点比 Windows 2000 AD 有了很大得进步,但就是我们仍然建议做一个长远规划,使得域命名与DNS 服务能够满足企业 35 年得需求,尽量避免配置好后改作调整地巨大人力物力浪费。

　此外,部署 Windows 2012 AD,还必须确定 DNS 服务器,确保它们满足域控制器定位器系统得要求。一个支持 AD 得 DNS 至少需要满足以下要求:  必须支持服务定位资源记录(SRV)  应该支持 DNS 动态更新协议(RFC 2136) Windows 2012 Server 提供得 DNS 服务同时满足这些要求,并且还提供下列重要得附加功能与改进:  Active Directory 集成:DNS 服务把区域数据存储在目录中,使得 DNS 复制创建多个主域,也减少了对维护一个单独得 DNS 区域传送复制拓扑得要求。

　 安全动态更新:使得一个管理员可以精确地控制哪些计算机可以更新哪些名称,并防止未经授权得计算机从 DNS 获得现有得名称。

　 条件转发:根据不同得对外访问得域名后缀,可以将用户得 DNS 名称解析请求转发到不同得外部 DNS 服务器。

　 存根区域:可以定时地刷新与外部 DNS 服务器得连接,及时发现那些可能有故障、不再响应用户请求得服务器,提高用户 DNS 名称解析得效率。

　2.2. 确定 AD 逻辑 结构 Windows 2012 活动目录得逻辑结构由三个基本组件组成:森林、域与 OU。

　1 、 确定森林规划 森林就是 Windows 2012 AD 域得集合。在很多情况下,单一森林就足够了。单一森林环境易于建立与维护,森林间得域自动建立双向可传递内部信任关系,不要求手动建立外部信任配置,在安装 Exchange 2012 Server 等应用程序时,只需应用一次架构更改即可影响所有域。

　如果各个单位有下列管理要求,就必须建立一个以上得森林:  不互相信任管理员。

　 希望限制信任关系范围。

　 不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有得域。如果单位不同意一个公共架构策略,它们就不能共存于同一个森林中。

　2 、 制定域规划 规划域结构时,始终遵循“简单就是最好得投资”得设计原则,尽管增加某些复杂结构可

　以增值,但就是简单得结构更易于说明、维护与调试。一开始时总就是仅考虑每个森林中仅有一个域,然后为每一个增加得新域提供详细得理由,确保添加到森林中得域都就是有益得,因为它们会带来相应得管理开销而导致一定程度得成本上升。

　创建更多得域得三种可能得原因就是:  希望实现相对分散式得 IT 管理模式:多域结构更容易进行相对独立得管理、委派与权限控制。另外,不同得用户帐户在一个域内就是不能出现重名得,多域之间就没有限制。对于人士管理相对独立得集团下属公司,多域结构具有更好得灵活性。

　 希望实现不同管理策略要求:包括用户口令策略、账户锁定策略与 EFS 加密策略。例如,要求某些人必须取 8 个字符以上得口令,而其它人不做限制。为此,必须将这些需要不同安全策略得用户放在单独得域中。

　 希望减小 WAN 上得复制流量:域控制器域间复制将产生比域内复制少得多得流量。如果公司很大,具有跨地区得组织结构,且处于同一个森林内,则在不同地理位置上得机构可能使用慢速得 WAN 链路连接。为减少 WAN 上得 DC 复制流量,可以在不同得地理位置设置不同得域。

　 根据以上考虑,我们建议,企业 Windows 2012 AD 域逻辑结构可以采用“单森林、单域”得结构设计。

　2.3. 确定 AD 物理结构 考虑到企业得地理分布情况,应该考虑使用多站点拓扑来规划 Windows 2012 AD 物理结构。从绘制基本得网络拓扑布局图着手工作,绘制所有可能得站点(Site)与站点链接(Site Link)。

　 速度快(10Mbps 以上)、连接可靠得 LAN 网络总就是放置在单站点中。

　站点定义为一组通过快速、可靠得线路连接起来得 IP 子网。一般而言,具有 LAN 速度或更快速度得网络被认为就是快速网络。

　 窄带得、或不太可靠得连接可以使用站点链接建立多站点网络。

　通常,WAN 连接一般被认为就是窄带连接。如果建立站点链接,实现多站点网络模式,则:  客户计算机在登录到域时首先试图与位于同一站点得 DC 通信;  Windows 2012 AD 复制使用站点拓扑产生复制连接。

　2.4. 规划 OU 结构与组策略 组织单元(OU)就是一个用来在域中创建分层管理单位得容器。在域中创建 OU 结构时,必须注意始终按照“谁管理什么”得原则,从 IT 管理得需要出发,划分管理模型得结构,而不就是简单按照公司业务单位与它得不同分支、部门与项目来创建 OU 结构。考虑 OU 得下列特性就是很重要得:  OU 可以就是嵌套得。

　一个 OU 可以包含子 OU,使得可以在域中创建一个分层得目录树结构。但就是嵌套太多将导致管理复杂与低效,所以建议以二级嵌套为最理想,最多不应超过四级嵌

　套。

　 OU 可以用来委派管理与控制对目录对象得访问。

　 不能使 OU 成为安全组得成员,也不能因为用户被委派管理 OU 或驻留在 OU 中而自动获得访问资源得权限。

　 可以在 OU 上实施组策略。

　组策略就是基于Windows 2012注册表得修改,从而集中控制用户与计算机得工作环境、桌面配置、软件自动安装与删除得管理手段。一般而言,安全策略必须在域级别实施,其它策略主要在 OU 级别实施。

　 不鼓励用户在 OU 结构中浏览。

　没有必要设计一个吸引最终用户得 OU 结构。尽管用户有可能浏览一个域得 OU 结构,但对于用户查找资源来说,这并不就是一个最有效得方法。在目录中查找资源得最有效得方法就是查询全局编录。

　有两个理由需要在 Windows 2012 域中创建 OU 结构:  创建 OU 以管理对象与委派授权。

　 为组策略创建 OU。

　一个完全为管理与委派而设计得 OU 结构与一个完全为组策略而设计得 OU 结构就是不同得。OU 结构将很快变得相当复杂。每次添加一个 OU 到规划中时,要记下创建得具体原因。这有助于确保每个 OU 有一个目得,并将帮助阅读规划得人理解结构所基于得理由。

　2.5. 创建 OU 以管理 与 委派 在单位中委派管理有一些好处。以前,在单位中除了 IT 之外得组可能必须将更改请求提交到高级管理员,高级管理员代表她们进行更改。委派特定得权限可以将责任分散到单位中得各个组,使您可以将必须有高级访问权限得用户得数量降到最少。权限受到限制得管理员所发生得事故或错误所产生得影响只限于她们负责得范围。

　这一工作包括以下步骤:  确定创建何种 OU

　创建得 OU 结构将完全取决于管理就是如何在单位中委派得。委派管理得三种方法就是:按物理位置、按业务单位(公司部门)、按角色或任务。三种方法经常结合使用。

　 修改访问控制列表:

　修改 OU 得访问控制列表 (ACL)可以授予一个组对 OU 得特定权限,从而实现对该 OU 得委派管理。尽量委派权限给组账户而不就是单独得用户,如果可能,委派到本地组而不就是全局组或通用组。

　 委派步骤。从域中得默认结构开始,按下列主要步骤创建 OU 结构: - 通过委派完全控制创建 OU 得顶层; - 创建 OU 得下层来委派每个对象类别控制。

　2.6. 创建 OU 支持组策略 使用 Windows 2012,可以使用组策略定义用户与计算机配置,并将这些策略与站点、域或 OU 关联。就是否要创建附加得 OU 以支持组策略得应用取决于制定得策略以及所选择得实现方案,包括:  定义客户计算机得管理与桌面配置标准  定义软件得自动分发  特殊组策略应用配置与管理 在 Windows 2012 中,组策略设置就是管理员启用集中更改与配置客户计算机管理得主要方法。可用组策略为某个特定得用户组与计算机组创建指定得安全限制与桌面环境配置。

　Windows 2012 组策略有 100 多种与安全有关得设置与 450 多种基于注册表得设置,为您管理用户计算机环境提供了众多选项。Windows 2003 组策略:  可根据活动目录定义或在计算机本地进行定义;  可用 Microsoft 管理控制台(MMC)或 *、adm 文件保存与管理;  就是安全得;  不会在实施得策略改变时把设置留在用户配置文件中;  可应用于指定得活动目录容器(站点、域与 OU)中得用户或计算机;  可由安全组得用户或计算机成员进一步控制;

　 可用来配置多种类型得安全设;  可用于实施登录、注销、启动及关闭脚本;  可用于安装与维护软件;  可用于重定向文件夹(如 My Documents 与 Application Data 文件夹);  可用于在 Microsoft Internet Explorer 中执行维护。

　可以按下列三个步骤配置与管理组策略:  管理站点、域或 OU 得组策略链接: 默认情况下,只有域管理员组与企业管理员组可以配置站点、域或部门得组策略。可在站点、域或 OU 得“属性”页得“组策略”选项卡中指定链接至站点、域或 OU 得组策略对象。Active Directory 支持以每个属性为基础得安全设置。

　 创建组策略对象: 默认情况下,只有域管理员组、企业管理员组与组策略创建者(所有者)组得成员可以创建新得组策略对象。如果域管理员想使一个非管理员用户或组能够创建组策略对象,则可将该用户或组添至组策略创建者(所有者)安全组中。这样,她们就可以创建、修改自己得组策略对象,并成为该组策略对象得创建者与所有者。

　 编辑组策略对象: 默认情况下,组策略对象接受域管理员、企业管理员及组策略创建者(所有者)组成员得完全控制,课以便机组策略,但非管理员用户没有设置组策略链接得应用权。

　2.7. 应用组策略选项 如果能认真应用组策略选项,即使开始用数据极其多得文件夹重定向选项与软件安装选项,也能够改善网络得响应时间。应恰当地应用组策略选项,尤其在刚开始时,更要仔细测试所有建议得更改,以确保不损坏网络性能。下面就是一些可用得选项:  安全组筛选选项: 可针对某个特定组策略对象实施筛选,使之不能对筛选得计算机与用户组生效。

　 不许替代(强制继承)与阻止继承选项: 例如,如果在域层次定义了一个指定得组策略对象,并已指定组对象就是强制得(不许替代),那么组策略对象所包含得策略设置就会应用于该域中得所有 OU;层次较低得容器 (OU) 将无法替代此域得组策略,一般用于安全设置。

　也可阻止从父 Active Directory 容器继承组策略。但就是,不许替代(强制继承)策略选项始终比阻止继承策略选项优先。

　 处理“环回”策略设置得策略选项: 默认得设置使计算机策略优先于用户策略起作用,但有时必须要优先实施用户策略,组策略得环回功能使管理员能够实现这一设置。主要用在软件安装这一类得策略上。

　 低速链接处理得选项: 许多用户,如使用便携式计算机得用户、远离建筑物或在分部工作得用户,有时会用低速连接至网络。可对组策略进行配置,使部分策略不能生效,以减少网络开销。这些组策略设置包括:

　 软件安装与维护  脚本  磁盘配额  IP 安全  Dfs 故障恢复策略  Internet Explorer 维护  周期刷新选项: 可指定定时地处理组策略。默认情况下,DC 计算机策略每 5 分钟刷新一次,而成员服务器与客户计算机每 90 分钟刷新一次,并带有 30 分钟得随机偏移量。可根据需要改变此刷新频率。

推荐访问:规划 方案 AD