管理群組策略的準(zhǔn)備

如果您想在自己的Windows 7計(jì)算機(jī)上直接管理Active Directory群組策略對(duì)象，而不想總是通過遠(yuǎn)程桌面或VNC的遠(yuǎn)程聯(lián)機(jī)到DC主機(jī)來完成，該怎么做呢？

安裝遠(yuǎn)程服務(wù)器管理工具包

在Windows 7的桌面環(huán)境上，直接管理Active Directory的群組策略對(duì)象，就必須先下載專用的遠(yuǎn)程服務(wù)器管理工具包，簡(jiǎn)稱 RSAT（Remote Server Administration Tools）。 在RSAT整個(gè)管理工具包中所包含的遠(yuǎn)程工具項(xiàng)目，除了群組策略管理工具之外，您還可以選用其他功能管理工具（包括BitLocker密碼復(fù)原查看器、群集管理工具、負(fù)載平衡工具、SMTP服務(wù)器工具、儲(chǔ)存設(shè)備導(dǎo)覽工具、Windows系統(tǒng)資源管理員工具）、角色管理工具（包括Active Directory服務(wù)憑證工具、AD DS與AD LDS工具、DHCP服務(wù)器工具、DNS服務(wù)器工具、檔案服務(wù)工具、Hyper-V工具以及遠(yuǎn)程桌面服務(wù)工具）以及服務(wù)器管理員。

中文RSAT工具下載網(wǎng)址：

http://www.microsoft.com/downloads/details.aspx?displaylang=zhtw&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d

只要完成了RSAT工具的下載與安裝，便可以到Windows 7操作系統(tǒng)的“控制面板”中點(diǎn)選“開啟 或 關(guān) 閉 Windows功 能”，接著便可以展開“Remote Server Administration Tools→Feature Administration Tools”節(jié)點(diǎn)，來選取安裝“Group Policy Management Tools”。

在完成了群組策略管理工具的安裝之后，便可以在“開始”菜單的“系統(tǒng)管理工具”選單中，點(diǎn)選開啟“Group Policy Management”。在我們使用群組策略管理工具聯(lián)機(jī)到Active Directory之后，便可以針對(duì)特定的組織容器（OU），點(diǎn)擊鼠標(biāo)右鍵，點(diǎn)選“Create a GPO in this domain and Link it here”項(xiàng)目，來建立自定義的群組策略對(duì)象。請(qǐng)?jiān)凇癗ew GPO”的頁面中，輸入一個(gè)新的群組策略對(duì)象名稱，即可準(zhǔn)備開始群組策略進(jìn)行設(shè)置。

使用MMC管理群組策略

另一種管理群組策略對(duì)象的方法，則是先執(zhí)行MMC來開啟管理控制臺(tái)接口，然后在“檔案”下拉選單中點(diǎn)選“新增/移除嵌入式管理單元”繼續(xù)。接下來便可以將“Group Policy Management Editor”項(xiàng)目新增進(jìn)來。

上述操作的執(zhí)行過程中，將會(huì)開啟向?qū)гO(shè)置頁面，請(qǐng)點(diǎn)選“Browse”按鈕來選取所要編輯的群組策略對(duì)象。在點(diǎn)選進(jìn)入指定的網(wǎng)域以及組織單位后，便可以在選取指定的群組策略對(duì)象之后，點(diǎn)選“確定”按鈕即可進(jìn)入編輯接口。

應(yīng)用過程控制策略設(shè)置前的準(zhǔn)備工作

當(dāng)您準(zhǔn)備通過群組策略的方式，來集中設(shè)置有關(guān)應(yīng)用程序策略控制之前，客戶端的Windows 7操作系統(tǒng)需要完成哪一些設(shè)置呢？其實(shí)在準(zhǔn)備開始設(shè)置應(yīng)用過程控制策略之前，所有Windows 7客戶端操作系統(tǒng)中的“Application Identity”服務(wù)，必須是設(shè)置為開機(jī)時(shí)自動(dòng)啟動(dòng)才可以。若想要通過群組策略來管理的話，請(qǐng)?jiān)凇叭航M策略編輯器”接口中切換到“Computer Configuration→Policies→Windows Settings→安全性設(shè)置→系統(tǒng)服務(wù)”項(xiàng)目節(jié)點(diǎn)上，接著，點(diǎn)選“Application Identity”項(xiàng)目設(shè)置繼續(xù)。

在“Application Identity”安全性策略設(shè)置的頁面中，將啟動(dòng)模式設(shè)置為“自動(dòng)”，點(diǎn)選“編輯安全性設(shè)置”按鈕繼續(xù)。接著將會(huì)開啟“安全性Application Identity”，請(qǐng)采用系統(tǒng)默認(rèn)值即可，點(diǎn)選“確定”完成設(shè)置。

一旦確認(rèn)了所有欲管理的Windows 7客戶端都已經(jīng)啟動(dòng) 了“Application Identity”服務(wù)之后，便可以在此界面中點(diǎn)選至“安全性設(shè)置（Security Settings）→應(yīng)用過程控制策略→Application Control Policies→ AppLocker”項(xiàng) 目節(jié)點(diǎn)上，來開始管理所有關(guān)于應(yīng)用過程控制策略的設(shè)置。

注意：如果我們的Windows 7或Windows Server 2008 R2系統(tǒng)中，已經(jīng)套用了舊有群組策略中的“軟件限制策略”功能時(shí)，那么此時(shí)若在相同的群組策略對(duì)象的設(shè)置中加入“應(yīng)用程序策略控制”設(shè)置，則將導(dǎo)致只會(huì)有“應(yīng)用程序策略控制”被套用，因此在這種情況下建議您分開成兩個(gè)不同的群組對(duì)象來個(gè)別進(jìn)行管理。