微软活动目录技术深入剖析

1、微软活动目录技术深入剖析Active Directory活动目录简介为什么需要域如果资源分布在多台服务器上，要在每台服务器分别为每一员工建立一个账户（共M*N），用户则需要在每台服务器上（共M台）登录 域的好处服务器和用户的计算机都在同一个域中，用户在域中只要拥有一个账号用户只需要在域中拥有一个域账户，只需要在域中登录一次就可以访问域中的资源了。部署AD DS建立第1个域具体来说,建立第1个域就是要建立第1部域控制器（Domain Controller,以下简称为DC）而建立DC的第1个动作就是执行Dcpromo.exe但是必须具有系统管理员权限才能执行此程序,因此务必先以具有系统管理员权限的

2、用户帐户登入。建立第一部DC以下的示范步骤,系假设目前的网络无任何域,所要建立的是整个网络的第一个域又称为根域（Root Domain）。新增角色并未建立DC安装Windows Server 2008后,启动时预设会自动开启初始化设定工作视窗,虽然可以在此窗口中点选新增角色,接着选取安装Active Directory域服务,以使该计算机扮演DC角色。然而,这种作法并未真正建立DC,到了最后一个画面还是要求必须执行Dcpromo.exe,如下图。执行Dcpromo.exe请按开始钮,输入dcpromo、按Enter键：执行Dcpromo.exe之后按完成钮,再按立即重新启动钮。重新启动后若要确

3、认此计算机是否已经是DC,从开始/系统管理工具菜单是否出现关于Active Directory的命令即可得知：执行Dcpromo.exe先前在第6步骤所设的密码,系使用于当AD数据库毁损时,可在开机启动Windows Server 2008之前按F8键,进入目录服务还原模式,重建AD数据库。由于此重建动作会改变既有的AD资料,为防止滥用,因此必须以密码保护,而且此密码不必和域系统管理员的密码相同。域中的计算机除了域控制器之外,域中的计算机还可区分成以下两类：成员服务器（Member Server）工作站（Workstation）成员服务器安装Windows Server 2012、2008、W

4、indows Server 2003 / 2003 R2、Windows 2000 Server等系统,加入了域、但不是DC的计算机。或是安装Windows NT Server系统,且加入域的电脑,都算是成员服务器。由于这些服务器都是域的成员,所以审核使用者身份的工作,都交由DC执行,使用者只要通过DC的身份验证,即可依据设定的权限来使用服务器所提供的服务。换言之,成员服务器都信任DC的身分验证。最好停用成员服务器的本机账户虽然加入了域,但是成员服务器上仍保留本机的帐户数据库,因此使用者仍可利用这些本机帐户,登入该服务器。对域的安全管理而言,这些本机账户可能会是漏洞,所以我们可以停用成员服务器

5、的本机帐户,强迫使用者一律以域账户登入。工作站所有安装以下操作系统,而且加入域的计算机都算是工作站：Windows NT WorkstationWindows 2000 ProfessionalWindows XP ProfessionalWindows 7/vista商用入门版、商用进阶版和旗舰版Windows 8（家庭版除外）Windows 10（家庭版除外）工作站使用者可利用这些工作站登入域,存取域中的资源、执行应用程序等等,但是Windows Server 2008的某些新功能,必须搭配Windows 7的工作站才能发挥效果。同样的Windows Server 2012的某些新功能,必

6、须搭配Windows 8版本以上的工作站才能发挥效果。而工作站本身仍然保留了本机帐户的数据库,使用者利用本机账户登入工作站时,只能使用本机（该工作站）的资源,但无法存取域上的资源。域外的计算机首选,应该要知道哪些计算机不能加入AD域？执行Linux、Unix等等非Windows系统的电脑,理所当然地不能加入AD域。但是可以以模拟域成员计算机的方式通过LADP协议验证域用户身份。此外, Windows 95 / 98 / Me、Windows XP家庭版、Windows 7家庭入门版、Windows 7家庭进阶版,也都没有加入域的功能。独立服务器简单地说,未加入域的服务器就是独立服务器无论安装的

7、是Windows或非Windows的服务器操作系统。它一旦加入域后,角色即转换为成员服务器。相反地,成员服务器如果退出域,则又成为独立服务器。如果在独立服务器上执行Dcpromo.exe,则可升级为DC。独立服务器客户端计算机无论是执行何种操作系统,只要未加入域,而且不是独立服务器的电脑,都可以归为此类。使用者虽然不能用它们登入域,但仍可利用域帐户,透过这些计算机存取域资源。将独立服务器加入域建立域之后,通常会优先将网络上的独立服务器加入域,以便集中管理。以下示范将Windows Server 2008独立服务器加入域的步骤（此步骤亦适用于Windows 7）。1.修改首选DNS服务器的设定加

8、入域的先决条件是要能够连结到该域的DC,而要连到DC就必须先设定正确的DNS服务器地址。先前建立DC的时候,其实已经将该域的DNS服务器和DC安装在一起了。换言之,域里的DC和DNS服务器实为同一部电脑,所以应该将独立服务器上的首选DNS服务器,设为DC的IP地址。2.修改成员隶属的设定请按开始钮,在电脑项目上按右钮、执行内容命令：修改成员隶属的设定加入域后的电脑,其名称预设会出现在DC的Active Directory使用者和电脑窗口的Computers容器中：退出域和DC降级先前已经介绍了升级为DC和加入域的方法,这一节将继续说明退出域和DC降级的方法。退出域加入工作组DC降级运行dcpr

9、omo林与域功能级别先前在升级为DC的过程,曾遇到选择林功能级别（Forest Functional Level）和域功能级别（Domain FunctionalLevel）的交谈窗,当时都暂时采用默认值。Windows Server 2012提供的林功能级别Windows 2000、Windows Server 2003、Windows Server 2008和Windows Server 2012域功能级别Windows 2000原生、Windows Server 2003Windows Server 2008和Windows Server 2012/zh-cn/library/cc771

10、294.aspx功能级别的种类与高低愈新的操作系统代表愈高的功能级别,因此Windows Server 2012的等级最高； Windows Server 2008其次，Windows Server 2003次之；Windows2000（原生）的等级最低。在选择林和域功能级别时,要注意域功能级别不能低于林功能级别。假设林功能级别为Windows Server 2003,则域功能级别就只有Windows Server 2003、Windows Serer 2008、 Windows Serer 2012可选。不同功能级别的影响选择不同的功能级别,对于林或域会造成以下的影响：哪些DC可以加入林或域

11、：虽然都是DC,但是所执行的操作系统可能是Windows 2000、Windows 2003或Windows 2008,因此在不同的功能级别会限制某些DC不能加入林或域。林或域支持哪些功能：在不同的功能级别,林或域所支持的功能也有差异。功能级别愈高,所支持的功能愈多。林功能差异不同林功能级别的主要功能差异如下表：域功能差异不同域功能级别的限制条件与功能差异如下表：变更域/林功能级别请以隶属于Domain Admin群组的使用者账户登入,而后执行开始/系统管理工具/ Active Directory域及信任命令,并如下操作：变更功能级别时的注意事项Functional levels: Deter

12、mine the AD DS features available in a domain or forest Restrict which Windows Server operating systems can be run on domain controllers in the domain or forest Supported Domain Controller Operating SystemsWindows 2000Windows 2000 native Windows Server 2003Windows Server2003 Windows Server 2008Windo

13、ws Server 2008 ForestsDomainWindows Server 2008 Windows Server 2003Windows 2000 Windows Server 2008 Windows Server 2003Windows Server 2008 Supported functional levels:何谓目录其实目录早已存在日常生活中,例如电话簿可用来查询用户的电话号码、姓名与地址,就是一种目录。而计算机的文件系统记录了文件夹与档案的名称、建立日期、修改日期、储存位置等等从以上的例子可知,目录是用来记载特定环境中、一群对象的相关信息。在此所谓的对象,泛指环境中的

14、各种独立个体包括人、事、物。目录与数据库的差异目录与数据库都是用来储存资料,两者的确很相似。不过,深入比较其细节,就会发现通常有以下两点差异：目录强调查询,数据库重视异动。目录对于查询动作做过优化,因此查询的速度很快,适合处理变动少、查询多的数据。数据库则是重视异动（Transcation）,适合处理变动较多的数据。目录以树状架构为主,数据库以关系型数据表为主。目录的架构目录的架构是指在目录中储存对象的方式,明白这方面的知识,有助于未来的维护和设计工作。目录树对象的属性目录树若目录中的对象是以阶层式树状架构来组织,则该架构称为目录树(Directory Tree),包含以下两类的对象：容器对象

15、(Container Object)：这类对象的下层可再存放其他对象。位于整个目录树顶端的容器对象,称为根对象(Root Object)。非容器对象(Non-container Object)：这类对象的下层不可再存放其他对象。非容器对象必定是位于目录树的末端,又称为叶对象(Leaf Object)。目录树整体的架构图如下：对象的属性在目录树中,各对象都有所谓的属性 (Attribute),记载着该对象的特性。对象与属性的关系,类似于数据库中纪录与字段的关系。举例来说：使用者（User）对象有公司名称部门名称和电话号码这些属性,但是文件夹对象就没有这些属性,而有建立日期和大小等属性。属性的内容

16、通常称为属性值,不同对象的某些属性值可以相同、某些则必须唯一。例如：A、B两位使用者隶属于相同部门,所以它们的公司名称、部门名称,甚至电话号码都相同,但是员工编号就绝对不能相同。 X.500和LDAP目录观念刚萌芽时, ITU-T发表了一系列名为X.500 Recommandation文件,探讨目录的观念、模型、存取协议等等技术。业界便以X.500作为目录的标准,以DAP (Directory Access Protocol)协议作为存取X.500目录的共同方式。但是厂商在实作时,发觉DAP协定过于复杂,而且客户端程序的负荷太大,于是将其改良,推出了LDAP (Lightweight Dire

17、ctory Access Protocol)协定。 LDAP (Lightweight Directory Access Protocol)顾名思义, LDAP为轻量级(Lightweight)的DAP,一方面简化架构、易于设计,另一方面也减轻客户端软件的负荷,因此成为主流。Lotus Domino、Sun One Directory Server、Novell Directory Services (NDS)和微软的Active Directory Services等等目录服务产品,都标榜支持LDAP协定。LDAP名称(对象名称)AD是采用LDAP 3协议的目录服务,因此客户端可透过LDAP

18、协定来存取AD中的对象。存取时所指定的对象名称,可区分为以下2类：DN (Distinguished Name)与RDN (Relative Distinguished Name)标准名称DN与RDNRDNDN其中, CN (Common Name)通常用来代表对象名称,例如用户名称、打印机名称等等；OU (Organizational Unit)代表组织单位名称；DC (Domain Component)代表域名。标准名称标准名称是以简化方式表示LDAP的DN,假设对象的DN为：则在AD中此对象的标准名称为：换言之,标准名称省略了DN中的CN=、OU=等等保留字,并改用DNS域名来表示DN中

19、的域名。 AD目录服务微软自Windows 2000 Server开始提供完整的目录服务,命名为AD（ActiveDirectory）目录服务。搭配该服务的目录便称为AD目录许多文件是以AD数据库来称呼AD目录。虽然AD目录与AD目录服务大致上符合X.500及LDAP规范,但是难免加入了微软独家的规格与技术,因此本节将介绍其中比较值得注意的一些特性。AD目录的架构AD目录仍然是以对象组合成树状架构,不过却多了域（Domain）对象。将一般对象先整合到域中,再形成所谓的域树（Domain Tree）AD对象的特性在AD目录中的对象称为AD对象。虽然大多数AD对象的特性各不相同,但是却有一些共同点

20、。GUIDACLAD SchemaGUIDWindows Server 2008/2012会赋予各对象一个独一无二的代码,称为GUID(Globally Unique Identifier,全局唯一识别元)。GUID的长度高达128位,以确保不会彼此重复。对象的GUID一旦产生,永远不会改变,因此不论对象的名称或属性如何变更,应用程序仍可透过GUID找到对象。ACL从Windows 2000 Server到Windows Server 2012,都存在所谓的安全策略(Security Principal)对象,它包含用户帐户、计算机帐户与群组等3种对象。而AD对象都有一份列表(List),记载

21、着安全策略对象对自己有哪些权限,这份清单称为访问控制列表(ACL, Access Control List)。换言之, ACL记载了哪些安全策略对象,可以对哪些对象做什么动作。ACL的继承关系虽然AD对象各自拥有一份独立的ACL,然而系统管理员可以根据实际需求,决定是否让下层对象继承上层对象的ACL。以下图为例：AD对象的属性AD对象的主要功能是记载AD域内各种资源的资讯,这些信息便是对象的属性。每个AD对象通常有多个属性,以使用者 （User）对象为例,预设有两百多个属性,较常用到的属性如下：sn：使用者的姓。givenName：使用者的名字。userPassword：用户的密码。objec

22、tGUID：使用者的GUID。lastLogon：使用者最近一次的登入时间。userCertificate：使用者的数字证书。homePhone：用户家中的电话号码。AD Schema先前提过,不同类的AD对象可能具有不同的属性,例如：打印机对象有纸张尺寸属性,但是用户对象就不可能有此属性。到底什么样的对象具有哪些属性,这是由AD schema所决定。AD schema如同一份规格文件,将对象分成各种类别(Class),并定义每一种类别的对象该有哪些属性。用户与组注意：更名之后，原用户数据需要进行迁移AD中FSMO五大角色的介绍FSMOFSMO是Flexible single master o

23、peration的缩写，意思就是灵活单主机操作。营运主机（Operation Masters，又称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定角色信息的网域控制站，在每一个活动目录网域中，至少会存在三种营运主机的角色。但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.而且这些角色都是唯一的五大角色：1、 森林级别(一个森林只存在一台DC有这个角色):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、 域级别(一个域里面只存一台DC有这个角

24、色):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :结构主控Schema Master（架构主控）作用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对象和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果大家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Ma

25、ster进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。Domain Naming Master （域命名主控）这也是一个森林级别的角色，它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话，那么就必须要和Domain Naming Master进行联系，如果Domain Naming Master处于Down机状态的话，你的添加和删除操作那上肯定会失败的。PDC Emulator （PD

26、C仿真器）在前面已经提过了，Windows 2000域开始，不再区分PDC还是BDC，但实际上有些操作则必须要由PDC来完成，那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成，主要是以下操作:、处理密码验证要求; 在默认情况下，Windows 2000域里的所有DC会每5分钟复制一次，但有一些情况是例外的，比如密码的修改，一般情况下，一旦密码被修改，会先被复制到PDC Emulator，然后由PDC Emulator触发一个即时更新，以保证密码的实时性，当然，实际上由于网络复制也是需要时间的，所以还是会存在一定的时间差，至于这个时间差是多少，则取决于你

27、的网络规模和线路情况。、统一域内的时间; 微软活动目录是用Kerberos协议来进行身份认证的，在默认情况下，验证方与被验证方之间的时间差不能超过5分钟，否则会被拒绝通过，微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的，这个统一时间的工作就是由PDC Emulator来完成的。、向域内的NT4 BDC提供复制数据源; 对于一些新建的网络，不大会存在Windows 2000域里包含NT4的BDC的现象，但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况，这种情况下要向NT4 BDC复制，就需要PDC Emulator。、统一修改组策略的模板;、对Wi

28、ndows 2000以前的操作系统，如WIN98之类的计算机提供支持; 对于Windows 2000之前的操作系统，它们会认为自己加入的是NT4域，所以当这些机器加入到Windows 2000域时，它们会尝试联系PDC，而实际上PDC已经不存在了，所以PDC Emulator就会成为它们的联系对象!RID Master （RID主控）在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然我们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，所以当两个用户的SID一样的时候，尽管他们的用户名可能不一样，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产

29、生安全问题。而在域内的用户安全SID=Domain SID+RID，那么如何避免这种情况?这就需要用到RID Master，RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。Infrastructure Master （结构主控）FSMO的五种角色中最无关紧要的可能就是这个角色了，它的主要作用就是用来更新组的成员列表，因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU，那么用户的DN名就发生变化，这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。组策略组织单位与委派控制组织单位（Organi

30、zationalUnit）是从Windows 2000之后才出现的对象,在AD域的逻辑架构中担任重要的角色。组织单位是什么？它能帮我们做什么？以及如何管理组织单位。何谓组织单位在Windows NT的时代,域（Domain）是组织和管理网络的最小单位。倘若不同的部门有不同的安全需求与管理方式,往往因此得将整个公司划分成多个域。可是这种多域的架构,在管理与成本都会增加负担。为了解决这类的问题,微软公司在AD域中增加了组织单位这种对象,使得整个域的规划与管理更有弹性,能发挥分层负责、授权管理的优点。组织单位是一种容器能包含其它对象的对象便称为容器（Container）,既然组织单位是一种容器,自然

31、也能包含其它对象。它可以包含以下9种对象：用户、计算机、组、打印机、共享文件夹联络人、组织单位、InetOrgPerson、MSMQ路由别名但是要记得一点组织单位仅能包含同域内的对象,不能包含其它域的对象！组织单位与组的差异初次接触组织单位时,许多用户会将它与组（Group）混淆,虽然两者都是应用在AD域的逻辑架构中,但是在使用上有以下的差异：一个用户可以隶属于多个组,但是只能隶属于一个组织单位。组织单位可以包含组,但是组不能包含组织单位。网络资源（例如：文件夹或打印机）的权限可以赋予组,但是不能赋予组织单位。规划组织单位如何规划组织单位的架构,是一个颇有挑战性的课题。然而并无一定的准则,主要

32、视企业实际需求而定。以下列举几种常见的规划模式：基于功能SCMS 销售C 咨询M 市场基于混合型的示例功能组织位置功能组织位置基于组织MERM 制造业E 工程师R 研究员基于地理位置NFIN 挪威F 法国I 印尼 组策略概述组策略在运行Windows Server2012、Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 的计算机上启用基于 Active Directory 的用户和计算机设置更改和配置管理。除了使用组策略为用户和计算机组定义配置以外，还可以配置很多服务器特定的操作和安全设置，以便使用组策略帮助管理服

33、务器计算机。组策略组件Contains Group Policy settingsStores content in two locationsGroup Policy ObjectStored in shared SYSVOL folder Provides Group Policy settingsGroup Policy TemplateStored in Active DirectoryProvides version informationGroup Policy Container组策略对象的工具默认组策略工具Active Directory 用户和计算机域和组织单位组策略对象Ac

34、tive Directory 站点和服务站点组策略对象本地安全策略本地计算机安全设置附加工具组策略管理域、组织单位和站点组策略对象组策略对象链接组织单位 GPO组织单位 GPO站点 GPO域 GPO站点域OUOUOU组策略部署管理用于实现组策略解决方案的过程组策略的结构组策略对象链接组策略的应用组策略的管理用于实现组策略解决方案的过程用于实现组策略解决方案的过程涉及规划、设计、部署和维护解决方案。 在规划组策略设计时，请确保设计 OU 结构以简化组策略管理并符合服务级别协议在设计阶段： 定义组策略的应用范围。确定适用于所有企业用户的策略设置。基于角色和位置对用户和计算机进行分类基于用户和计算机

35、要求规划桌面配置。部署阶段从测试环境中的暂存过程开始组策略的结构3-1组策略的具体设置数据保存在GPO中 默认GPO默认域策略 默认域控制器策略 GPO所链接的对象 SDOU（Site、Domain、Organization Unit）GPO控制用户和计算机GPOSDOU计算机用户组策略的结构3-2站点的概念 活动目录中的站点是从物理上抽象的概念 由一个或几个通过高速链路连接在一起的IP子网组成站点和域的关系一个站点中可以有多个域 一个域中可以有多个站点站点的主要作用 优化复制使用户能够使用可靠、高速的连接登录到域控制器上 组策略的结构3-3GPO：GPC（组策略容器）与GPT（组策略模板）

36、GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构组策略对象的管理工具默认组策略工具Active Directory 用户和计算机域和组织单位组策略对象Active Directory 站点和服务站点组策略对象本地安全策略本地计算机安全设置附加工具组策略管理域、组织单位和站点组策略对象组策略的应用组策略的应用用顺序组策略权限的继承阻止策略继承强制组策略本地策略站点策略域策略父OU策略子OU策略组策略的应用用顺序组策略权限的继承域OUOUOUOUOU用户或计算机账户OU GPO 1OU GPO 3OU GPO 2阻

37、止策略继承 要阻止策略在域或组织单位中继承 Active Directory 用户和计算机管理工具要阻止策略在站点上继承 Active Directory 站点和服务管理工具销售生产 域组策略对象没有组策略对象设置应用强制组策略阻止组策略失效组策略继承的优先顺序变化组策略筛选销售生产域MengphKimyo组应用组策略拒绝读取和应用组策略允许GPO组策略什么时候应用?Computer startsComputer settings appliedStartup scripts runRefresh IntervalUser logs onUser settings applied Logon

38、scripts runRefresh Interval组策略处理过程同步处理异步处理管理组策略什么是COPY操作，执行COPY操作 ? 什么是备份操作，执行备份操作 ?什么是恢复操作，执行恢复操作 ?什么是倒入操作，执行导入操作 ?什么是 Copy 操作?A copy of a GPO transfers only the settings within a GPO The new GPO is created unlinked DACLUser 1GPO1ReadFull ControlDACLUser 1GPO2ReadFull ControlCopy Operation什么是 Backu

39、p 操作?In a backup operation, Group Policy Management export all data in the GPO to the selected file and saves the GPT filesBackup OperationBackup ofa GPOGPO1GPO1什么是恢复操作?In a restore operation, the contents of the GPO are returned to exactly the same stateRestore OperationGPO1Backed-up GPOGPO1什么是导入操作

40、?In an import operation, all GPO settings are copied from the source to the target GPOGPO1Import OperationGPO2GPOSettings将组策略应用于新用户和计算机帐户默认情况下，新用户和计算机帐户是在 CN=Users 和 CN=Computers 容器中创建的。Redirusr.exe（用于用户帐户）和 Redircmp.exe（用于计算机帐户）是 Windows Server2008 附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置，以便更轻松地为新创建的用户

41、和计算机对象直接指定 GPO 作用域组策略和 SysvolGPO 中的策略设置信息存储在以下两个位置：Active Directory 和域控制器的 Sysvol 文件夹。Active Directory 容器称为组策略容器；Sysvol 文件夹中包含组策略模板。组策略容器包含用于将 GPO 部署到域、OU 和站点的属性。组策略容器还包含组策略模板的路径，该模板存储了大多数组策略设置。管理模板组策略中提供大量的设定使管理员可以通过一次设定,管理多台计算机或者多个用户组策略中很大一部分设定实际上是改的注册表管理模板(.ADM)文件定义了组策略如何修改注册表所有基于注册表的组策略设定存为regis

42、try.pol ,放在sysvol中组策略首选项组策略首选项是 Windows Server2008 操作系统中的新增功能，包括 20 多个新的组策略扩展，扩大了组策略对象 (GPO) 中可配置设置的范围。这些新的扩展位于组策略管理控制台 (GPMC) 的“组策略管理编辑器”窗口中的新首选项下面。新组策略首选项扩展的示例包括文件夹选项、映射驱动器、打印机、计划任务、服务以及开始菜单设置要求在客户端计算机上安装客户端扩展 (CSE) 集用于 Windows XP 的组策略首选项客户端扩展 (KB943729)组策略的常见错误 现象原因无法打开 GPOGPO权限无法编辑GPO网络故障无法应用GPO

43、到安全组GPO 并不应用于组 用户策略无法生效确认GPO链接的OU内是否包含用户计算机策略无法生效确认GPO链接的OU内是否包含计算机本地组策略无法生效域策略会覆盖本地组策略如何核实组策略的结果 Your instructor will demonstrate how to:Create a new Group Policy Results query View the query 组策略排除故障工具Dcgpofix事件查看器 Gpresult.exe(rsop.msc)Gpudate.exe(强制刷新组策略)Secedit.exe(win2000刷新)replmonUserenv.logWinlogon.logMps_reportDcgpofix工具包含在 Windows Server 2003/2008 中。不应在 Windows 2000 域控制器上运行此工具；可