浅谈Windows Server 2008活动目录的组策略部署

摘要：在Windows Server 2008 Active Directory环境中，组策略可以使IT管理员自动管理用户和计算机，从而简化管理任务并降低IT成本。如何部署和配置组策略，实施安全性的设置，是IT管理员在实施网络安全管理的过程中至关重要的部分，能够使管理工作变得简单化、条理化。

关键词：Windows Server 2008；Active Directory活动目录；组策略

中图分类号：TP399 文献标识码：A 文章编号：1007-9599 (2011) 22-0000-01

Group Policy Arrangement Study of Windows Server 2008 Active Directory

Xu Wenming

(College of Computer Science&Technology,Huaqiao University,Quanzhou 362000,China)

Abstract:In Windows Server 2008 Active Directory environment,Group Policy enables IT administrators to manage users and computers automatically,simplifying management tasks and reduce IT costs.How to deploy and configure group policy to implement security settings,IT administrators in the implementation of network security management a vital part of the process,enabling management to become simplified,structured.

Keywords:Windows Server 2008;Active Directory Active Directory;Group Policy

一、引言

组策略（Group Policy，简称GP）是系统管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制，也是一种用于管理网络内用户设置和计算机设置的管理工具。组策略包括影响计算机的“计算机配置”策略设置和影响用户的“用户配置”策略设置。本文将介绍如何配置和部署组策略。

二、准备工作

（一）检查网卡配置，是否为桥接（Bridged）。桥接网卡可以实现虚拟机所使用的网卡为真实存在的物理适配卡。直接点击菜单栏“VM”，在下拉菜单中选择“Setting”打开的窗口中选择“Network adapt”，在右边窗格中选择“Bridged”。

（二）设置虚拟机IP地址，采用静态的IP地址。将虚拟机的Windows Server 2008 Active Directory域控制作为服务器，服务器需要有静态的IP地址。打开“控制面板”，选择“网络和共享中心”，右击打开的菜单中选择“打开”，选择“本地连接的查看状态”，在打开的窗口中选择“属性”，在窗格中选中“Internet协议版本4（TCP/IPv4）”，点击“属性”，打开的窗口中选择“使用下面的IP地址”，例如IP地址：192.168.0.1，子网掩码：255.255.255.0。

（三）安装Active Directory域服务。点击“开始”，打开的菜单中选择“管理工具”，在菜单中选择“服务器管理器”，在右边窗格中选择“添加角色”，对窗格中的“Active Directory域服务”打勾，直接按照每一步默认操作安装Active Directory域服务。

三、部署组策略

（一）配置Active Directory域控制器。点击“开始”，在搜索窗中输入“dcpromo”。在弹出安装向导后，在“选择某一部署配置”中选择“在新林中新建域”，点击下一步，在“命名林根域”中输入域名，例如“”，点击下一步，在“设置林功能级别”和“设置域功能级别”中，按照默认点击下一步，“数据库、日志文件和SYSVOL的位置”可以更改文件存放的目录，不更改的话，可按照默认，点击下一步，“目录服务还原模式的Administrator密码”，此密码必须满足复杂性的要求，密码应该包括字母大小写、数字和特殊符号，设置完密码后单击下一步，在弹出的警告窗口中，单击“是”，按下一步完成Active Directory域控制器配置。

（二）创建Active Directory域组策略对象。选中域名(如)，右击，在弹出的菜单中选择“在这个域中创建GPO并在此处链接”，弹出的对话框中名称用“域组策略对象”命名，单击“确定”。Active Directory域组策略的应用对象是连接到域的所有计算机和域中的所有用户。

（三）配置域组策略对象。新创建的策略在默认情况下没有进行任何配置，通过编辑组策略可以实现某些功能及保证安全。下面以编辑新建的策略为例介绍如何配置组策略。选择“域组策略对象”，右击，在菜单中选择“编辑”，则进入“组策略管理编辑器”窗口。在该窗口中，根据需要对组策略进行编辑即可。

1.部署帐户策略。账户策略包括密码策略、帐户锁定策略、Kerberos策略。密码策略满足高安全性环境中对密码的要求。账户锁定策略可以锁定相应账户。Kerberos策略用于域用户的账户

（1）密码策略。在“组策略管理编辑器”窗口，依次展开“计算机配置”“策略”“Windows设置”“安全设置”“帐户策略”“密码策略”，右边窗格中选择“密码必须符合复杂性要求”，右击，在菜单中选择“属性”，将“定义这个策略设置”打勾，并选择“已启用”，单击确定。同样采用右击，在菜单中选择“属性”的方法，分别设置“密码长度最小值为6个字符”、“密码最短使用期限为7天”、“密码最长使用期限为30天”、“强制密码历史为3个记住的密码”、“用可还原的加密来储存密码设置为已启用”。

（2）帐户锁定策略。在“组策略管理编辑器”窗口，依次展开“计算机配置”“策略”“Windows设置”“安全设置”“帐户策略”“帐户锁定策略”，右边窗格中选择“复位帐户锁定计算机器”，右击，在菜单中选择“属性”，将“定义这个策略设置”打勾，并设置“在30分钟之后复位帐户锁定计数器”，单击确定。同样采用右击，在菜单中选择“属性”的方法，分别设置“帐户锁定时间为30分钟”、“帐户锁定阈值为3次无效登录”。

（3）Kerberos策略。在“组策略管理编辑器”窗口，依次展开“计算机配置”“策略”“Windows设置”“安全设置”“帐户策略”“Kerberos策略”，右边窗格中选择“服务票证最长寿命”，右击，在菜单中选择“属性”，将“定义这个策略设置”打勾，并设置“票证过期时间为600分钟”，单击确定。同样采用右击，在菜单中选择“属性”的方法，分别设置“用户票证续订最长寿命为34天”、“用户票证最长寿命为10个小时”。

2.部署审核策略。在“组策略管理编辑器”窗口，依次展开“计算机配置”“策略”“Windows设置”“安全设置”“本地策略”“审核策略”，右边窗格中选择“审核策略更改”，右击，在菜单中选择“属性”，将“定义这些策略设置”打勾，并将“审核这些操作成功选项”打勾，单击确定。同样采用右击，在菜单中选择“属性”的方法，分别设置“用户票证续订最长寿命为34天”、“用户票证最长寿命为10个小时”。

四、结束语

组策略将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的，利用组策略，管理可有效地实施安全设置，强制实施IT策略，通过组策略管理控制台统一管理，提高管理员的工作效率。

[作者简介]许文明（1982-），女，福建泉州人，助教。