活动目录是Windows Server 2008的核心,而使用活动目录的目的是进行用户的统一化的管理,其中组策略是实施管理的重要手段之一。在Windows Server 2008中组策略不仅在功能上得到了加强,而且在操作和配置上也更人性化。现在我们可以抛开某些第三方用户行为管理软件,在Windows Server 2008的组策略里就可以轻松进行设置、限制和管理。下面笔者通过二个案例来介绍一下Windows Server 2008组策略的强大功能吧。
案例1:给公司不同部门设置不同的密码策略 第一步:把领导层的经理级别的账号加入到Managers组里(此组必须是安全的全局组因为所创建的PSO<密码设置对象>只能应用在安全的全局组上)(如图1所示)。 第二步:提升域功能级别到Windows Server 2008(由于粒度化的密码策略只支持Windows Server 2008,因此在设置密码策略之前必须把域功能级别提升到Windows Server 2008) 1.点击“开始”→“管理工具”→“服务器管理器”。打开服务器管理器,接着依次展开“角色”→“Active Directory用户和计算机”→“contoso.com”。 2.右击contoso.com,然后选择“提升域功能级别”。设置功能级别为“Windows Server 2008”,点击“提升”(如图2所示)。 第三步:为Managers组创建PSO(密码设置对象),设置密码策略的相关属性 1.点击“运行”,输入“adsiedit.msc”,然后点击确定。 2.连接到“默认命名上下文”(如图3图4所示)。 3.展开CN=System,DC=contoso,DC=com,右击CN=Password Settings Container,选择“新建”→“对象”(如图5所示)。 4.出现“创建对象”向导,确认“msDS-PasswordSettings”被选择,然后点击“下一步”(如图6所示)。 5.在图7的界面里我们要按照下面的列表依次设定不同属性指定值(时间采取d:hh:mm:ss的格式),最后点击“完成”来结束对象的创建。
第四步:应用PSO(密码设置对象)到Managers组 1.在图8界面展开CN=Password Settings Container,右击CN=Managers对象,选择“属性”,在列表属性中选择msDS-PSOAppliesTo,点击“编辑”。 2.在之后弹出的对话框里点击“添加Windows账户”。然后在“选择用户、计算机和组”对话框中输入Managers,点击“确定”。最后点击“确定”关闭Adsiedit.msc。 通过以上的设置,Managers组内的领导层就能以此密码策略来设置登录密码了。 案例2:通过组策略首选项为公司创建一个共享网络磁盘 第一步:安装组策略组件 第二步:设置共享文件夹 第三步:创建组策略对象 第四步:编辑此组策略对象 1.选中” IntelligenceDriveMapping 2.依次展开“用户配置”→“首选项”→“Windows设置”,选择“驱动器映射”→“新建”→“驱动器映射”(如图11所示)。 3.在图12的界面中,操作栏选择“创建”,在位置中输入\\dc-01\Public,驱动器号使用Q,点击“显示此驱动器”。 4.点击“公用”选项卡,选择“在登录用户的安全上下文中运行(用户策略选项)”。勾选“项目级目标”,点击“目标”。 5.点击“新建项目”,在下拉列表中选择“磁盘空间”。按F8快捷键,可以看到条件变为“不大于或等于”。设置可用磁盘空间为50G,驱动器号选择“系统”。最后点击“确定”完成设置。(如图13所示) |
|