Active Directory 环境中使用组策略管理控制台 (GPMC)9468915501

1、关于组策略管理控制台使用的逐步式指南该逐步式指南提供了在 Active Directory 环境中使用组策略管理控制台 (GPMC) 来支持组策略对象 (GPO) 的一般性指导。该指南并不提供 GPO 实施指导。本页内容 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#E1 l E1 简介 HYPERLINK /china/technet/prodtechnol/windowsserver2003/tech

2、nologies/directory/activedirectory/stepbystep/gpmcinad.mspx#E4B l E4B 概述 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#ECE l ECE 安装和配置置 GPPMC HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/actived

3、irectory/stepbystep/gpmcinad.mspx#ENH l ENH 管理组策略略对象 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#E5EAC l E5EAC GPO 备备份、还还原、复复制以及及导入 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory

4、/stepbystep/gpmcinad.mspx#EWKAC l EWKAC GPO 建建模 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#E1LAC l E1LAC 其他资源简介逐步式指南南Windoows Serrverr 20003 部署逐逐步式指指南提供供了很多多常见操操作系统统配置的的实际操操作经验验。本指指南首先先介绍通通过以下下过程来来建立通通用网络络结构：安装 Winndowws SSe

5、rvver 20003；配配置 AActiive Dirrecttoryy；安装装 Wiindoows XP Proofesssioonall 工作作站并最最后将此此工作站站添加到到域中。后后续逐步步式指南南假定您您已建立立了此通通用网络络结构。如如果您不不想遵循循此通用用网络结结构，则则需要在在使用这这些指南南时进行行适当的的修改。通用网络结结构要求求完成以以下指南南。 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/domcntr

6、l.mspx 第一部分：将 WWinddowss Seerveer 220033 安装装为域控控制器 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/domxppro.mspx 第二部分：安装 Winndowws XXP PProffesssionnal 工作站站并将其其连接到到域上在配置通用用网络结结构后，可可以使用用任何其其他的逐逐步式指指南。注注意，某某些逐步步式指南南除具备备通用网网络结构构要求外外，可能能还需要要满足额额外的

7、先先决条件件。任何何额外的的要求都都将列在在特定的的逐步式式指南中中。Microosofft VVirttuall PCC可以在物理理实验室室环境中中或通过过虚拟化化技术（如如 Miicroosofft VVirttuall PCC 20004 或 MMicrrosooft Virrtuaal SServver 20005）来来实施 Winndowws SServver 20003 部部署逐步步式指南南。借助助于虚拟拟机技术术，客户户可以同同时在一一台物理理服务器器上运行行多个操操作系统统。Viirtuual PC 20004 和和 Viirtuual Serrverr 20005 就是为为了

8、在软软件测试试和开发发、旧版版应用程程序迁移移以及服服务器整整合方案案中提高高工作效效率而设设计的。Windoows Serrverr 20003 部署逐逐步式指指南假定定所有配配置都是是在物理理实验室室环境中中完成的的，但大大多数配配置不经经修改就就可以应应用于虚虚拟环境境。将这些逐步步式指南南中提供供的概念念应用于于虚拟环环境超出出了本文文的讨论论范围。重要说明此处作为例例子提到到的公司司、组织织、产品品、域名名、电子子邮件地地址、徽徽标、个个人、地地点和事事件纯属属虚构，决决不意指指，也不不应由此此臆测任任何公司司、组织织、产品品、域名名、电子子邮件地地址、徽徽标、个个人、地地点或事事件

9、。此通用基础础结构是是为在专专用网络络上使用用而设计计的。此此通用结结构中使使用的虚虚拟公司司名称和和域名系系统 (DNSS) 名名称并未未注册以以便在 Intternnet 上使用用。您不不应在公公共网络络或 IInteerneet 上上使用此此名称。此通用结构构的 AActiive Dirrecttoryy 服务务结构用用于说明明“Wiindoows Serrverr 20003 更改和和配置管管理”如如何与 Acttivee Diirecctorry 配配合使用用。不能能将其作作为任何何组织进进行 AActiive Dirrecttoryy 配置置的模型型。 HYPERLINK /chi

10、na/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#top l top 返回页首概述Microosofft 组组策略管管理控制制台 (GPMMC) 是一个个用于组组策略管管理的新新工具，它它通过改改进易管管理性和和提高效效率帮助助管理员员更经济济有效地地管理企企业。它它包含一一个新的的 Miicroosofft 管管理控制制台 (MMCC) 管管理单元元和一组组可编程程接口。GPMC 提供单单一位置置来管理理组策略略核心内内容，从从而简化

11、化了组策策略的管管理。它它可以根根据用户户需要提提供以下下功能来来满足最最高的组组策略部部署要求求。使组策略更更易于使使用的用用户界面面 (UUI)。组策略对象象 (GGPO) 备份份/还原原。GPO 导导入/导导出和复复制/粘粘贴以及及 Wiindoows Mannageemennt IInsttrummenttatiion (WMMI) 筛选器器。简化了对组组策略相相关安全全功能的的管理。GPO 设设置和策策略的结结果集 (RSSoP) 数据据的超文文本标记记语言 (HTTML) 报告告。将此工具中中提供的的策略相相关任务务编制成成脚本（而而不是将将 GPPO 设设置编制制成脚本本）。过去

12、，管理理员需要要使用几几个 MMicrrosooft 工具来来管理组组策略，如如“Acctivve DDireectoory 用户和和计算机机”、“AActiive Dirrecttoryy 站点点和服务务”以及及“策略略的结果果集”管管理单元元。GPPMC 将这些些工具中中提供的的现有组组策略功功能以及及一些新新功能集集成到一一个统一一的控制制台中。GPMC 中内置置了对多多个域和和林管理理的支持持，因此此，管理理员可以以方便地地管理整整个企业业中的组组策略。管管理员可可以完全全控制在在 GPPMC 中列出出哪些林林和域，因因而可以以只显示示环境的的相关部部分。注意：该逐逐步式指指南只提提供

13、使用用 GPPMC 来管理理 GPPO 的的指导，并并不提供供有关其其配置的的指导。有有关配置置 GPPO 的的信息，请请参见 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx 了了解组策策略功能能集的逐逐步式指指南。先决条件 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/

14、stepbystep/domcntrl.mspx 第一部分：将 WWinddowss Seerveer 220033 安装装为域控控制器 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/addomcon.mspx 安装其他域域控制器器的逐步步式指南南 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory

15、/stepbystep/admng.mspx Activve DDireectoory 管理逐逐步式指指南 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/ctrlwiz.mspx 关于控制委委派向导导使用方方法的逐逐步式指指南 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep

16、/gpfeat.mspx 了解组策略略功能集集的逐步步式指南南 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx 强制实施强强密码策策略的逐逐步式指指南 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#top l top 返

17、回页首安装和配置置 GPPMC安装 GPPMCGPMC 安装是是一个涉涉及运行行 Wiindoows Insstalllerr (.MSII) 程程序包的的简单过过程。要要下载最最新版本本，请参参见 WWinddowss Seerveer SSysttem 组策略略管理站站点，网网址为： HYPERLINK /windowsserver2003/gpmc/default.mspx htttp:/m/wiindoowssservver220033/gppmc/deffaullt.mmspxx。要安装组策策略管理理控制台台，请按按照以下下步骤操操作：1.在服务器“HHQ-CCON-DC-01”上上

18、，浏览览到包含含“gppmc.msii”的文文件夹，双双击“ggpmcc.mssi”程程序包，然然后单击击“下一一步”。2.单击“我同同意”，接接受最终终用户许许可协议议 (EEULAA)，然然后单击击“下一一步”。3.单击“完成成”以完完成 GGPMCC 安装装。在安装完成成后，更更新 AActiive Dirrecttoryy 管理理单元中中站点、域域和组织织单位 (OUU) 属属性页上上显示的的“组策策略”选选项卡以以提供到到 GPPMC 的直接接链接。由由于所有有组策略略管理功功能都是是通过 GPMMC 提提供的，因因此，无无法再使使用先前前在原始始“组策策略”选选项卡上上提供的的功能

19、。要打开 GGPMCC 管理理单元，请请按照以以下步骤骤操作：1.在服务器“HHQ-CCON-DC-01”上上，单击击“开始始”按钮钮，单击击“运行行”，键键入“GGPMCC.mssc”，然然后单击击“确定定”。注意：此外外，也可可以使用用以下两两种方法法之一启启动 GGPMCC。在“开始”菜单或“控制面板”中，单击“管理工具”文件夹中的“组策略管理”快捷方式。创建自定义的 MMC 控制台：单击“开始”按钮，单击“运行”，键入“MMC”，然后单击“确定”。指向“文件”，单击“添加/删除管理单元”，然后单击“添加”。单击以突出显示“组策略管理”，单击“添加”，单击“关闭”，然后单击“确定”。为多

20、个林配配置 GGPMCC您可以方便便地将多多个林添添加到 GPMMC 控控制台树树中。默默认情况况下，只只有在某某个林与与运行 GPMMC 的的用户林林之间具具有双向向信任关关系时，才才能将其其添加到到 GPPMC 中。您您可以有有选择地地允许 GPMMC 使使用仅单单向信任任关系或或根本不不使用信信任关系系。通过过突出显显示树根根目录中中的“组组策略管管理”，从从上下文文菜单中中选择“操操作”，然然后单击击“添加加林”，将将另一个个林添加加到 GGPMCC 中。由由于示例例环境只只包含单单个林，因因此，执执行这些些步骤超超出了本本逐步式式指南的的讨论范范围。注意：在添添加不受受信任的的林时，

21、将将无法使使用某些些功能。例例如，不不能使用用“组策策略建模模”，并并且无法法打开“组组策略对对象编辑辑器”以以编辑不不受信任任的林中中的 GGPO。不不受信任任的林方方案主要要用于支支持跨林林复制 GPOO。同时管理多多个域GPMC 支持同同时管理理多个域域，并且且每个域域在控制制台中是是按林进进行分组组的。默默认情况况下，GGPMCC 中只只显示一一个域。在在首先使使用预配配置的管管理单元元 (ggpmcc.mssc) 或自定定义 MMMC 控制台台启动 GPMMC 后后，GPPMC 将显示示包含用用于启动动 GPPMC 的用户户帐户的的域。通通过添加加和删除除控制台台中显示示的域，您您可

22、以指指定每个个林中要要使用 GPMMC 管管理的域域。注意：即使使您没有有整个林林的林信信任关系系，您也也可添加加外部信信任域。默默认情况况下，要要添加的的域和用用户对象象域之间间必须具具有双向向信任关关系。也也可以通通过使用用“查看看”菜单单中的“选选项”对对话框禁禁用 GGPMCC 的信信任检测测功能，来来添加具具有单向向信任关关系的域域。要添添加外部部信任域域，您必必须先使使用“添添加林”对对话框，从从包含外外部信任任域的林林中添加加一个域域。在添添加该林林后，您您可通过过右键单单击该林林的“域域”节点点，然后后单击“显显示域”，在在该受信信任的林林中添加加任何域域。要将 vaancoo

23、uveer.cconttosoo.coom 子子域添加加到控制制台中，请请按照以以下步骤骤操作：1.在“组策略略管理”窗窗口中，单单击“林林:m”旁边边的加号号 (+) 将将树展开开，然后后单击“域域”旁边边的加号号 (+)。2.右键单击“域域”，然然后单击击“显示示域”。3.选择“vaancoouveer.cconttosoo.coom”旁旁边的复复选框（如如图 11 所示示），然然后单击击“确定定”。图 1. 显示域域在 GPMMC 的的每个可可用域中中，可使使用相同同的域控控制器来来完成该该域中的的所有操操作。这这包括位位于该域域中的 GPOO、OUU、安全全主体以以及 WWMI 筛选器

24、器上的所所有操作作。另外外，在从从 GPPMC 中打开开“组策策略对象象编辑器器”时，它它始终将将 GPPMC 中的目目标域控控制器用用于 GGPO 所在的的域。GPMC 允许您您为每个个域选择择使用哪哪个域控控制器。您您可以选选择四个个选项之之一。使用主域控控制器 (PDDC) 模拟器器（默认认选项）。使用任何可可用的域域控制器器。使用运行 Winndowws SServver 20003 家家族操作作系统的的任何可可用域控控制器。如如果您要要还原包包含组策策略软件件安装设设置的已已删除 GPOO，该选选项是非非常有用用的。使用指定的的特定域域控制器器。要更改 GGPMCC 用于于 vaan

25、coouveer.cconttosoo.coom 域域的域控控制器，请请按照以以下步骤骤操作：1.在“组策略略管理”窗窗口的“域域”文件件夹下面面，右键键单击“vvanccouvver.conntosso.ccom”，然然后单击击“更改改域控制制器”。2.在“更改域域控制器器”对话话框中，单单击“此此域控制制器”，然然后单击击以突出出显示“m”（如如图 22 所示示）。3.单击“确定定”继续续。图 2. 更改域域控制器器 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedir

26、ectory/stepbystep/gpmcinad.mspx#top l top 返回页首管理组策略略对象查看域 GGPO在每个域中中，GPPMC 都提供供了一个个基于策策略的 Acttivee Diirecctorry 视视图以及及与组策策略关联联的组件件，如 GPOO、WMMI 筛筛选器以以及 GGPO 链接。GGPMCC 中的的视图与与“Acctivve DDireectoory 用户和和计算机机”MMMC 管管理单元元中的视视图类似似，它们们都显示示 OUU 分层层结构。然然而，GGPMCC 与该该管理单单元不同同之处在在于，它它不显示示 OUU 中的的用户、计计算机和和组，而而显示

27、链链接到每每个容器器的 GGPO 以及链链接到这这些 GGPO 本身的的 GPPO。GPMC 中的每每个域节节点都显显示以下下项目。链接到该域域的所有有 GPPO。所有顶级 OU、嵌嵌套 OOU 树树状视图图以及链链接到每每个 OOU 的的 GPPO。显示域中所所有 GGPO 的“组组策略对对象”容容器。显示域中所所有 WWMI 筛选器器的“WWMI 筛选器器”容器器。要查看与特特定容器器关联的的 GPPO，请请按照以以下步骤骤操作：1.在“域”树树下，单单击“cconttosoo.coom”树树。此时时将出现现与该容容器（域域根目录录）关联联的 GGPO，如如图 33 所示示。可将将此概念念

28、应用于于任何域域容器。图 3. 域根目目录中的的 GPPO HYPERLINK /china/technet/images/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/images/gpmcin03_big.gif 查看看大图要查看与特特定域关关联的所所有 GGPO，请请按照以以下步骤骤操作：1.在“域”树树下，单单击“cconttosoo.coom”旁旁边的加加号 (+)，然然后单击击“组策策略对象象”。搜索 GPPO可以在林或或域级别别进行 GPOO 搜索索。通过过使用单单个

29、或多多个搜索索参数，有有助于在在大量的的 GPPO 中中缩小搜搜索结果果的范围围。要使用多个个搜索参参数在 conntosso.ccom 林中查查找特定定 GPPO，请请按照以以下步骤骤操作：1.在控制台树树中，右右键单击击“林:conntosso.ccom”，然然后单击击“搜索索”。2.在“搜索项项”框中中，选择择“GPPO 名名称”，键键入“PPasssworrd”作作为“值值”，然然后单击击“添加加”。3.在“搜索项项”框中中，选择择“计算算机配置置”，选选择“SSecuuritty”作作为“值值”，然然后单击击“添加加”。4.单击“搜索索”。结结果应该该如图 4 所所示。图 4. 基于

30、条条件的 GPOO 搜索索5.在返回搜索索结果后后，您可可以执行行以下操操作之一一：要打开 GPO 进行编辑，请单击“编辑”。要保存搜索结果，请单击“保存结果”。在“保存 GPO 搜索结果”对话框中，指定保存结果的文件名称，然后单击“保存”。要浏览到在搜索中找到的某个 GPO，请在搜索结果列表中双击该 GPO。要清除搜索结果，请单击“清除”。要关闭“搜索组策略对象”对话框，请单击“关闭”。确定 GPPO 的的作用域域只能通过正正确地将将 GPPO 应应用于要要管理的的 Acctivve DDireectoory 容器来来实现组组策略值值。确定定哪些用用户和计计算机接接收 GGPO 中的设设置的

31、过过程称为为“确定定 GPPO 的的作用域域”。确确定 GGPO 作用域域的过程程基于三三个因素素。GPO 链链接到的的站点、域域或 OOU 将 GGPO 中的设设置应用用于用户户和计算算机的主主要机制制是，将将 GPPO 链链接到 Acttivee Diirecctorry 中中的站点点、域或或 OUU。链接接 GPPO 的的位置称称为“管管理作用用域”或或 SOOM（在在前面的的白皮书书中也将将其视为为 SDDOU）。SSOM 共有三三种类型型：站点点、域和和 OUU。可将将一个 GPOO 链接接到多个个 SOOM，也也可以将将一个 SOMM 链接接到多个个 GPPO。要要应用某某个 GG

32、PO，您您必须将将其链接接到 SSOM。GPO 上上的安全全筛选默默认情况况下，位位于链接接了 GGPO 的 SSOM 及其子子对象中中的所有有 Auutheentiicatted Useers（已已授权用用户）将将应用 GPOO 中的的设置。通通过管理理 GPPO 中中的权限限，您可可以进一一步细化化哪些用用户和计计算机将将接收 GPOO 中的的设置。这这称为“安安全筛选选”。对对于要应应用于特特定用户户或计算算机的 GPOO，该用用户或计计算机必必须拥有有该 GGPO 的“读读取”和和“应用用组策略略”权限限。默认认情况下下，GPPO 权权限允许许“Auutheentiicatted Us

33、eers”组组拥有这这两个权权限。这这就是在在将新 GPOO 链接接到 SSOM（OOU、域域或站点点）时，所所有已授授权用户户接收该该 GPPO 设设置的方方法。但但是，可可以更改改这些权权限，将将 GPPO 的的作用域域限定为为它所链链接到的的 SOOM 中中的一组组特定用用户、组组和/或或计算机机。GPO 上上的 WWMI 筛选器器 通过过使用 WMII 筛选选器，管管理员可可以基于于目标计计算机属属性（通通过 WWMI 实现）动动态地确确定 GGPO 的作用用域。WWMI 筛选器器由一个个或多个个查询组组成，这这些查询询针对目目标计算算机 WWMI 储存库库的求值值结果为为真或假假。W

34、MMI 筛筛选器是是与目录录中 GGPO 不同的的对象。要要将 WWMI 筛选器器应用于于某个 GPOO，请将将筛选器器链接到到该 GGPO，如如 GPPO 的的“作用用域”选选项卡上上的“WWMI 筛选”部部分所示示。每个个 GPPO 只只能有一一个 WWMI 筛选器器，不过过，可以以将同一一个 WWMI 筛选器器链接到到多个 GPOO。在目目标计算算机上应应用链接接到 WWMI 筛选器器的 GGPO 时，将将在该目目标计算算机上对对该筛选选器进行行求值。如如果 WWMI 筛选器器计算结结果为假假，则不不应用 GPOO。如果果 WMMI 筛筛选器计计算结果果为真，则则应用 GPOO。要确定在

35、以以前搜索索中找到到的“DDomaain Passswoord Pollicyy”GPPO 的的作用域域，请按按照以下下步骤操操作：1.在“搜索组组策略对对象”搜搜索结果果窗格中中，双击击“Doomaiin PPasssworrd PPoliicy”，然然后单击击“关闭闭”。注意：在关关闭“搜搜索组策策略对象象”对话话框后，以以前选择择的 GGPO 在 GGPMCC 中具具有焦点点。此时时将出现现“GPPO 作作用域”页页，如图图 5 所示。图 5. 确定 GPOO 的作作用域要检查 GGPO 将应用用的策略略，请按按照以下下步骤操操作：1.在“Dommainn Paasswwordd Poo

36、liccy”结结果窗格格中，单单击“设设置”选选项卡，然然后单击击“全部部显示”。此此时将显显示所有有已定义义策略设设置的摘摘要（如如图 66 所示示），但但不显示示未定义义的设置置。图 6. 检查 GPOO 设置置GPO 策策略继承承和链接接顺序特定容器的的“组策策略继承承”选项项卡显示示从父容容器继承承的所有有 GPPO（链链接到站站点上的的 GPPO 除除外）。该该选项卡卡中的“优优先”列列显示所所有链接接的总体体优先级级（这些些链接将将应用于于该容器器中的对对象），并并考虑“链链接顺序序”和每每个链接接的“强强制”属属性以及及“阻止止继承”。要查看容器器中的策策略继承承，请按按照以下下

37、步骤操操作：1.在“组策略略管理”窗窗口的“cconttosoo.coom”树树下面，展展开“AAccoountts”OOU，然然后单击击“Heeadqquarrterrs”OOU，如如图 77 所示示。图 7. 组策略略继承 HYPERLINK /china/technet/images/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/images/gpmcin07_big.gif 查查看大图图如果将多个个 GPPO 链链接到相相同的容容器，并并且这些些 GPPO 具具有相同同的设

38、置置，则必必须有一一个协调调这些设设置的机机制。这这种行为为是由链链接顺序序控制的的。链接接顺序编编号越小小，优先先级越高高。特定定容器链链接的相相关信息息显示在在该容器器的“链链接的组组策略对对象”选选项卡中中。该窗窗格显示示是否强强制进行行链接，是是否启用用链接，GGPO 状态，是是否应用用 WMMI 筛筛选器，其其修改时时间以及及存储它它的域容容器。委委派了“将将 GPPO 链链接到容容器”权权限的管管理员或或用户可可以使用用以下方方法更改改链接顺顺序：突突出显示示 GPPO 链链接，然然后使用用向上和和向下箭箭头，在在链接顺顺序列表表中向上上或向下下移动链链接。要更改容器器中的策策略链

39、接接顺序，请请按照以以下步骤骤操作：1.在“Heaadquuartterss”屏幕幕上，单单击“链链接的组组策略对对象”。2.在“GPOO”列下下面，单单击“LLinkked Polliciies”，然然后单击击“链接接顺序”列列左侧的的向上箭箭头。完完成后，“HHeaddquaarteers”OOU 下下面 GGPO 的链接接顺序应应该如图图 8 所示。图 8. GPOO 链接接顺序 HYPERLINK /china/technet/images/prodtechnol/windowsserver2003/technologies/directory/activedirectory/step

40、bystep/images/gpmcin08_big.gif 查查看大图图 HYPERLINK /china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#top l top 返回页首GPO 备备份、还还原、复复制以及及导入备份 GPPOGPO 备备份操作作将 GGPO 中的数数据复制制到文件件系统中中。备份份功能还还具有 GPOO 导出出功能。可可使用 GPOO 备份份将 GGPO 还原到到已备份份状态，或或者将备备份中的的设置导导入到

41、另另一个 GPOO 中。GPO 备备份操作作将 GGPO 内部存存储的所所有信息息保存到到文件系系统中。其其中包括括以下内内容：GPO 全全局唯一一标识符符 (GGUIDD) 和和域 GGPO 设置GPO 中中的自由由访问控控制列表表 (DDACLL)WMI 筛筛选器链链接（如如果有的的话），但但不包括括筛选器器本身到 IP 安全策策略的链链接（如如果有的的话）GPO 设设置的可可扩展标标记语言言 (XXML) 报告告（可将将其视为为 GPPMC 中的 HTMML）备份的日期期和时间间戳用户提供的的备份说说明GPO 备备份操作作只保存存在 GGPO 中存储储的数据据。在 GPOO 外面面存储的

42、的数据包包括以下下内容：到站点、域域或 OOU 的的链接WMI 筛筛选器IP 安全全策略在将备份还还原到原原始 GGPO 或导入入新 GGPO 时，该该数据不不可用。要备份“DDomaain Passswoord Pollicyy”GPPO，请请按照以以下步骤骤操作：1.在“组策略略管理”窗窗口的“cconttosoo.coom”树树下面，单单击“组组策略对对象”文文件夹。2.在“组策略略对象”文文件夹中中，右键键单击“DDomaain Passswoord Pollicyy”GPPO，然然后单击击“备份份”。3.在“备份组组策略对对象”对对话框中中，键入入“c:wiindoows”作作为“位

43、位置”，键键入“DDomaain Passswoord Pollicyy Baackuup”作作为“描描述”，然然后单击击“备份份”。4.在备份完成成后，单单击“确确定”继继续。管理备份可以将多个个相同或或不同的的 GPPO 备备份存储储在相同同的文件件系统位位置中。每每个备份份都使用用唯一的的备份 ID 来标识识。可以以使用 GPMMC 中中的“管管理备份份”对话话框或通通过可编编程接口口来管理理特定文文件系统统位置中中的备份份集合。可可通过右右键单击击特定域域中的“域域”节点点或“组组策略对对象”节节点来访访问“管管理备份份”对话话框。在在从“组组策略对对象”节节点中打打开“管管理备份份”

44、时，就就会自动动对视图图进行筛筛选，以以便只显显示该域域的 GGPO 备份。在在从“域域”节点点中打开开“管理理备份”对对话框时时，将会会显示所所有备份份（无论论备份来来自哪个个域）。要管理可用用的 GGPO 备份，请请按照以以下步骤骤操作：1.在“组策略略管理”窗窗口的“cconttosoo.coom”树树下面，右右键单击击“组策策略对象象”文件件夹，然然后单击击“管理理备份”。此此时将出出现“管管理备份份”窗口口，如图图 9 所示。图 9. 管理备备份2.在“管理备备份”窗窗口中，单单击以突突出显示示先前创创建的“DDomaain Passswoord Pollicyy Baackuup”

45、，然然后单击击“查看看设置”。3.查看详细的的 GPPO 信信息，然然后关闭闭“Innterrnett Exxploorerr”。从备份还原原GPO 还还原操作作从备份份数据中中重新创创建 GGPO。可可以在下下列两种种情况下下使用还还原操作作：备份份了 GGPO 但以后后将其删删除；或或 GPPO 处处于活动动状态，并并且您要要回滚到到先前的的已知状状态。还还原操作作将替代代以下 GPOO 组件件。GPO 设设置GPO 上上的 DDACLLWMI 筛筛选器链链接（但但不包括括筛选器器本身）还原操作只只能还原原属于 GPOO 的对对象，其其中包括括到站点点、域或或 OUU 的链链接、WWMI

46、筛选器器以及 IPSSec 策略。要还原“DDomaain Passswoord Pollicyy”GPPO，请请按照以以下步骤骤操作：1.在“管理备备份”窗窗口中，单单击“还还原”。2.在出现提示示时，单单击“确确定”还还原选定定的备份份。3.在 GPOO 还原原完成后后，单击击“确定定”。4.在“管理备备份”对对话框中中，单击击“关闭闭”。复制 GPPO您可以使用用复制操操作，将将 Acctivve DDireectoory 中现有有 GPPO 的的设置直直接传送送到新的的 GPPO 中中。将为为复制操操作期间间创建的的新 GGPO 指定一一个新的的 GUUID，并并且将其其解除链链接。可

47、可以使用用复制操操作，将将设置传传送到相相同域、相相同林的的其他域域或其他他林的域域中的新新 GPPO。因因为复制制操作将将 Acctivve DDireectoory 中的现现有 GGPO 作为源源，所以以源和目目标域之之间需要要具有信信任关系系。复制制操作适适用于在在生产环环境之间间移动组组策略。只只要源和和目标域域之间具具有信任任关系，就就可以使使用这些些操作将将测试域域或林中中经过测测试的组组策略迁迁移到生生产环境境中。要复制 GGPO，请请按照以以下步骤骤操作：1.在“conntosso.ccom”树树下面的的“组策策略对象象”文件件夹中，右右键单击击“Ennforrcedd Uss

48、er Polliciies”GGPO，然然后单击击“复制制”。2.单击“vaancoouveer.cconttosoo.coom”旁旁边的加加号 (+) 将将树展开开，然后后单击“组组策略对对象”旁旁边的加加号 (+) 将将树展开开。3.右键单击“组组策略对对象”，然然后单击击“粘贴贴”。4.在“跨域复复制向导导”中，单单击“下下一步”继继续。5.在“指定权权限”屏屏幕上，选选择“新新 GPPO 使使用默认认权限”（默默认），如如图 110 所所示，然然后单击击“下一一步”。图 10. 跨域域复制向向导6.在扫描完原原始 GGPO 后，单单击“下下一步”继继续。7.在“完成跨跨域复制制向导”屏

49、屏幕上，检检查设置置，然后后单击“完完成”。8.在完成复制制操作后后，单击击“确定定”。注意：“EEnfoorceed UUserr Poolicciess”GPPO 已已复制到到 vaancoouveer.cconttosoo.coom 域域中，不不过它尚尚未链接接到任何何容器上上。要将“Ennforrcedd Usser Polliciies”GGPO 链接到到 vaancoouveer.cconttosoo.coom 的的根目录录，请按按照以下下步骤操操作：1.右键单击“vvanccouvver.conntosso.ccom”，单单击“链链接现有有 GPPO”，单单击以突突出显示示“En

50、nforrcedd Usser Polliciies”，然然后单击击“确定定”。导入 GPPO导入操作使使用文件件系统位位置中的的已备份份 GPPO 作作为其源源，将设设置传送送到 AActiive Dirrecttoryy 中的的现有 GPOO。可以以使用导导入操作作，将一一个 GGPO 的设置置传送到到相同域域中的其其他 GGPO、相相同林中中其他域域的 GGPO、或或不同林林中域的的 GPPO。导导入操作作始终将将已备份份设置放放在现有有的 GGPO 中。它它会清除除目标 GPOO 中预预先存在在的任何何设置。导导入并不不要求源源域和目目标域之之间具有有信任关关系，因因此，非非常适用用于

51、在没没有信任任关系的的林和域域之间传传送设置置。将设设置导入入到 GGPO 并不会会影响其其 DAACL；也不会会影响站站点、域域或 OOU 到到该 GGPO 的链接接或者到到 WMMI 筛筛选器的的链接。要将 m“Doomaiin PPasssworrd PPoliicy”导导入到 m“Doomaiin PPasssworrd PPoliicy”中中，请按按照以下下步骤操操作：1.在“组策略略管理”窗窗口中，右右键单击击“vaancoouveer.cconttosoo.coom”，然然后单击击“创建建并链接接 GPPO”。2.在“新建 GPOO”对话话框中，键键入“DDomaain Passswoord Pollicyy”作为为“名称称”，然然