locked
域和组策略 RRS feed

  • 问题

  •  

    各位牛人,小弟初入IT这行。有个小问题想请大家帮忙。

    域和组策略有什么区别?怎么实现?

    在哪有详细的教程?文字视频都行。

    小弟在此谢过了。

    • 已移动 Shirley Long 2012年8月3日 8:16 (发件人:微软云计算IT体验营交流专区)
    2008年8月5日 14:22

答案

  •  

    什么是域?

    打个比方,如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。

    不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。

     

    什么是组策略?

    答:是通过简单的文字页面对系统庞大的数据库(注册表)的修改和配置,从而达到管理注册表,管理计算机的应用程序

     

     

    两者协同工作!
    2008年8月5日 15:00

全部回复

  •  

    2008年8月5日 14:31
  •  

    什么是域?

    打个比方,如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。

    不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。

     

    什么是组策略?

    答:是通过简单的文字页面对系统庞大的数据库(注册表)的修改和配置,从而达到管理注册表,管理计算机的应用程序

     

     

    两者协同工作!
    2008年8月5日 15:00
  •  

    域顾名思义管理的范围比较大,组策略只能限制在本机用户组范围之内,只对本机用户组进行限制。域控制器是装在一台服务器上面的,可以通过IP和PC的域名进行绑定,将PC加入一个域中,在本地PC将电脑加到该域,一旦加入该域你就可以通过服务器上面的域控制器设置限制了,你可以在上面添加域用户,你所设置的域用户策略在加入该域所有PC机上都有效!!!
    2008年8月6日 9:33
  • 您好.我觉得域的概念容易掌握一些.它犹如一个庞大的组织结构 (联合国安理会)  ,而组策略只是(安理会)其中的一些制度与措施.

        您也可以参考下文:

     

       GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中,一个单一的系统策略文件(例如ntconfig.pol)包括所有的可以执行的策略功能,但它依赖于用户计算机中的系统注册表的设置。在Win2K中,GPO包括文件和AD对象。通过组策略,可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装,这样在安装软件时就可以对文件夹进行重定向。微软管理控制台(MMC)中的组策略编辑器(GPE)插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点(例如软件设置、Windows 设置、管理模块等)都是MMC插件扩展,在MMC插件中扩展是可选的管理工具,如果你是应用程序开发者,可以通过定制的扩展拓展GPO的功能,从而针对你的应用程序提供附加的策略控制。只有运行Win2K的系统可以执行组策略,运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。

      以下主要是针对新的系统Windows XP的。

      所谓策略(Policy),是Windows中的一种自动配置桌面设置的机制。

      所谓组策略(Group Policy),顾名思义,就是基于组的策略。它以Windows中的一个MMC管理单元的形式

      存在,可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置,包括桌面配置和安全配置。譬

      如,可以为特定用户或用户组定制可用的程序、桌面上的内容,以及“开始”菜单选项等,也可以在整个

      计算机范围内创建特殊的桌面配置。简而言之,组策略是Windows中的一套系统更改和配置管理工具的集合。

      GPO(Group Policy Object)——组策略对象,实际上就是组策略设置的集合。组策略的设置结果是保存

      在GPO中的。

      而在Windows 98 或Windows NT的系统策略编辑器工具,它可以看成是组策略的前身,主要指基于注册表

      设置的策略。

      组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。

       简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。

      组策略编辑器的命令行启动

      您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。)

      在打开的组策略窗口中(如图1所示),可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。另外,您或许已经注意到,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢?这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。

      将组策略作为独立的MMC管理单元打开

      若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下:

      (1)单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。

    软件限制策略

      软件限制策略是 Microsoft Windows XP 和 Microsoft Windows Server 2003 中的一项新功能。它们提供了一套策略驱动机制,用于指定允许执行哪些程序以及不允许执行哪些程序。软件限制策略可以帮助组织免遭恶意代码的攻击。也就是说,软件限制策略针对病毒、特洛伊木马和其他类型的恶意代码提供了另一层防护。

      官方主页(微软视频教材):http://www.microsoft.com/china/technet/webcasts/class/security_2008.mspx

    2008年10月24日 3:24
  • 域和组策略都是用来限制管理用户使用权利或者是权限的,只不过域的优先级比组策略来的更高~

     

    2008年10月25日 4:21
  • 比较简单的方式有了域的存在,你的组策略才可以批量发布到你公司的其他机器上,

     

    如果没有他 你就得一台一台的做组策略实施,这样提高了实施成本,最主要是人力成本!

     

     

    2008年11月29日 12:50