如何在Windows 2003的ou级别上应用策略

好的,所以我要升级,我是一名软件工程师,试图做一个系统pipe理员的工作。

我问了一个关于重写密码策略的问题,并得到了一个正确的答案,但我不明白该怎么做。

基本上它告诉我在计算机上的某个级别上应用一个策略变更。 我从来不必应用任何一种政策。

有没有人愿意帮助一个新手一步一步的如何做到这一点。 (看到另一个问题 ,为什么我这样做的原因。)

要在OU级别应用组策略,只需进入AD用户和计算机,右键单击要应用策略的OU,然后转到属性。 在这里select组策略选项卡,这是策略的设置。

点击new创build一个新的策略,给它一个名字,然后点击edit。 这将popup编辑窗口,您可以深入到安全设置(计算机configuration – >窗口设置)或其他任何您想要的,并将策略更改为您所需的。

保存只需closures窗口。 完成之后,可能需要从命令运行gpupdate以确保策略已更新。

我是那个给你答案的人:密码政策…>微笑<

山姆的回答基本上是正确的。 为了使其更具体一些,您需要将GPO与密码策略设置链接到需要不同密码策略的服务器计算机所在的OU。 请注意,如果该OU中还有其他计算机,他们也将应用该策略。 这可能不是你想要的。

考虑以下:

[domain] domain.com | |- [OU] Member Server Computers | | | |- [Computer] SERVER01 | | | |- [Computer] SERVER02 

假设您只希望SERVER02具有已更改的密码策略设置,那么您最好的做法是创build“Member Server Computers”OU的子OU,并将SERVER2放入其中,如下所示:

  [domain] domain.com | |- [OU] Member Server Computers | | | |- [Computer] SERVER01 | | | |- [OU] Relaxed Local Password Policy Computers ... | | ... |- [Computer] SERVER02 

这样,所有适用于“成员服务器计算机”的GPO仍然适用于SERVER2(因为它在目录中的位置仍然在“成员服务器计算机”之下),但是您创build并链接到“轻松本地密码策略计算机“只适用于SERVER02。

这样做与子OU也很好,假设在同一OU中有其他计算机作为“SERVER02”,因为它限制了在你做一些你不想做的事情的情况下策略的应用。 你可以用组策略快速有效地破坏很多计算机…>微笑<这是一个放大人类错误的绝佳工具。

(还有其他一些方法可以使GPO只适用于SERVER02,而不是创build一个子OU,但这不是讨论它们的地方,但是当你准备好时,search短语“组策略过滤权限”你最喜欢的search引擎,你可以了解它。)

我发现组策略的操作系统文档是非常复杂和可怕的 – 所有关于“优先级”的讨论,等等。这是一个非常简单的algorithm,组策略使用它来确定基于应用的“有效”设置一堆GPO给用户或者计算机,但是微软的技术作家似乎想让它看起来“神奇”,因此它们似乎使文档变得过于复杂。 我应该坐下来用麦克风和屏幕捕捉实用程序,并做一个“组策略应用程序教程”video什么的。 (是的…在我丰富的空闲时间…)

那么,我会告诉你这个 ,但你可能想尝试在非生产环境中首先使用组策略,因为有些东西可能会变得杂乱。 一旦你习惯了,他们是pipe理你的工作站和服务器的一种非常有效的方式。 我会build议您从Microsoft Press或O'Reilly中挑选一本关于Windows服务器pipe理和组策略的书。

无法将组策略应用于特定的用户或用户组。 假设我们要为特定用户创build一个单独的策略,那么我们必须首先创build一个OU,然后应用GP whata,然后将用户或组移动到OU。 这是pipe理用户和用户组的最佳实践。