Windows 2003 AD管理：组策略与软件部署

本资料主要涉及Windows 2003活动目录中的AD域扩展及组策略的使用，旨在帮助用户理解如何集中管理和配置网络环境。 在Windows 2003的活动目录（AD）环境中，组策略（Group Policy）是一种强大的工具，它允许管理员集中控制和管理网络上的用户和计算机设置。通过组策略，管理员可以确保用户拥有执行其工作所需的安全和配置环境，同时降低管理成本，并统一实施公司的IT策略。 组策略结构分为几个关键组成部分： 1. **组策略对象（GPO）**：GPO是包含组策略设置的实体，这些设置定义了用户和计算机的行为、安全性和其他配置。GPO存储在两个地方：一是活动目录中，二是系统根目录的SYSVOL下。 2. **组策略容器**：这些是位于活动目录中的位置，如站点、域或组织单元（OU），GPO可以与这些容器链接，从而将设置应用于其中的用户和计算机。 3. **组策略模板**：组策略设置通常基于预定义的模板，这些模板存储在系统根目录的SYSVOL下，用于Windows 2000客户端。 组策略设置分为两类，分别针对计算机和用户： - **计算机的组策略设置**：影响操作系统的整体行为，包括桌面配置、安全设置、启动和关闭脚本以及分配给计算机的应用程序。 - **用户的组策略设置**：关注个人用户的体验，如操作系统特定行为、桌面定制、安全设置、应用配置、文件夹重定向以及登录和注销脚本。 在活动目录容器中，GPO可以与站点、域或OU链接，实现灵活的策略部署。一个GPO可以链接到多个容器，反之亦然，但不能直接与默认的计算机、用户和builtin容器关联。 管理员可以通过以下方式操作组策略对象： - **创建已连接的组策略目标**：这涉及在特定容器（如域、OU或站点）上创建一个新的GPO并立即与其建立链接。 - **创建未连接的组策略目标**：创建GPO但不立即与任何容器链接，便于后期使用。 - **连接已存在的组策略目标**：将已有的GPO链接到新的或现有的容器。 - **指定管理组策略目标的域控制器**：选择负责更新和应用GPO的特定域控制器。 在实际操作中，管理员可以使用“Active Directory Users and Computers”或“Active Directory Sites and Services”工具来创建和管理这些链接，以实现对网络环境的精细控制，例如布置软件、设置安全策略和管理用户桌面环境。通过组策略，管理员可以有效地发布软件，分配软件，设置软件安装的默认值，从而提高整个网络的管理效率。