1、AD安全優化解決方案設計一個穩定、可靠和擴展性良好的活動目錄架構對一個企業網絡的管理及安全具有重大意義，并對部署微軟的相關產品如 Exchange 等具有舉足輕重和決定性的重要意義。1.1. 活動目錄介紹活動目錄是Windows 2012 網絡體系結構中一個基本且不可分割的部分，它為網絡的用戶、 管理員和應用程序提供了一套分布式網絡環境設計的目錄服務。活動目錄使得組織機構可以有效地對有關網絡資源和用戶的信息進行共享和管理。另外，目錄服務在網絡安全方面也扮演著中心授權機構的角色，從而使操作系統可以輕松地驗證用戶身份并控制其對網絡資源的訪問。同等重要的是，活動目錄還擔當著系統集成和鞏固管理任務的集

2、合點。總的來說，活動目錄的這些功能使組織機構可以將標準化的商業規則貫徹于分布式應用和網絡資源當中，同時，無需管理員來維護各種不同的專用目錄。活動目錄提供了對基于Windows 的用戶賬號、客戶、服務器和應用程序進行管理的唯一點。同時，它也幫助組織機構通過使用基于Windows 的應用程序和與Windows 相兼容的設備對非Windows 系統進行集成，從而實現鞏固目錄服務并簡化對整個網絡操作系統的管理。公司也可以使用活動目錄服務安全地將網絡系統擴展到 Internet 上。活動目錄因此使現有網絡投資升值，同時，降低為使Windows 網絡操作系統更易于管理、更安全、更易于交互所需的全部費用。活

3、動目錄是微軟各種應用軟件運行的必要和基礎的條件。下圖表示出活動目錄成為各種應用軟件的中心。1.2. 應用 Windows 2012 Server AD的好處Windows 2012 Server 是微軟最新推出的網絡操作系統服務器，它沿用了Windows 2000 Server 的先進技術并且使之更易于部署、管理和使用。其結果是：其高效結構有助于使您的網絡成為單位的戰略性資產。應用 Windows 2012 Server 的好處如下表所示：優勢描述Windows Server 2012是迄今為止最快、最可靠和最安全的Windows服務器操作系統。可靠性提供集成結構，用于幫助您確保商業信息的安全

4、性。提供可靠性、實用性和可伸縮性，使您可以提供用戶需要的網絡結構。Windows Server 2012提供各種工具，允許您部署、管理和使用網絡結構以獲得最大效率。提供靈活易用的工具，有助于使您的設計和部署與組織及網絡的要求相匹配。高效通過加強策略、使任務自動化以及簡化升級來幫助您主動管理網絡。通過讓用戶自行處理更多的任務來降低支持開銷。連接Windows Server 2012 可以幫助您創建業務解決方案結構，以便與雇員、合作伙伴、連接性最經濟系統和客戶更好地連接。提供集成的Web 服務器和流媒體服務器，幫助您快速、輕松和安全地創建動態Intranet和 Internet Web 站點。提供

5、集成的應用程序服務器，幫助您輕松地開發、部署和管理XML Web服務。提供多種工具， 使您得以將XML Web服務與內部應用程序、 供應商和合作伙伴連接起來。與來自Microsoft的許多硬件、 軟件和渠道合作伙伴的產品和服務相結合，Windows Server2012 提供了有助于使您的基礎架構投資獲得最大回報的選擇。為使您得以快速將技術投入使用的完整解決方案提供簡單易用的說明性指南。通過利用最新的硬件、軟件和方法來優化服務器部署，從而幫助您合并各個服務器。降低用戶的所屬權總成本(TCO) ，使投資很快就能獲得回報。Windows 2012 Server 的核心是一組基于Active Dir

6、ectory （目錄服務， 簡稱 “ AD”）的基礎結構服務。 Windows2012 AD 簡化了管理，加強了安全性，擴展了互操作性。它為用戶、組、安全服務及網絡資源的管理提供了一種集中化的方法。應用 Windows 2012 AD之后，企業信息化建設者和網絡管理員可以從中獲得如下好處：系統平臺基礎架構。基于Windows 2012 AD 規劃網絡基礎架構，使企業獲得一個穩定、可擴充的網絡基礎平臺。不單單是滿足當前的網絡需要，更關鍵的是預計了今后3-5 年內可能的發展需要，使得將來的網絡規劃建設無需再次重復投資。單一登錄。可以統一用戶帳戶設置和用戶身份驗證，實現用戶單一登錄，用戶訪問網絡中的

7、資源不再需要反復輸入用戶名稱和口令。同時，它還是企業應用集成的基礎。基于AD 的單一登錄功能，便于實現在不同程序之間的協作和集成應用。網絡安全。可以基于 AD ，集中設置和統一管理用戶、組、資源的操作權限，方便維護管理。集中管理和委派授權。基于 Windows 2012 活動目錄 OU 實施委派授權管理， 未來向下屬企業推廣時，分級維護，集團各部門、下屬公司可以對所轄范圍內的部分參數進行維護，如增加用戶、設置權限、增加欄目、自定義流程等。用戶桌面管理。通過規劃部署Windows 2012 OU 和組策略，可以統一規劃用戶桌面和用戶操作環境，實現對客戶計算機的集中控制管理，加強信息管理的安全可靠

8、性。軟件自動分發。 通過規劃部署Windows 2012 OU 和組策略， 還可以實現應用程序的自動分發、 升級和刪除，不但可以實現客戶機軟件的統一安裝管理，而且大大減輕了軟件安裝配置的工作量。1.3. 明確系統規劃目標企業的 Windows 2012 AD系統規劃構建是為企業信息化建設服務的，需要達到以下戰略目標：圍繞企業的戰略發展需要，進行企業信息化建設系統規劃，滿足企業3-5 年的業務發展對IT 建設的要求；以業務為驅動，通過有效的信息系統，加強信息共享和協同辦公，提高工作效率，降低成本；整合企業現有信息資產，加強企業管理與監控；從信息中挖掘知識，提高經營決策與駕馭風險的能力；推進知識管

9、理理念，建立知識型企業，增強企業的核心競爭力。Windows 2012 AD 系統規劃實施的具體目標如下：規劃和部署基于 Windows 2012 AD 的企業目錄服務，首先實現用戶的單一登錄，保障網絡系統安全；通過 AD 實現用戶桌面的集中和自動管理，分發軟件補丁；進一步部署微軟的相關應用平臺軟件，如實現基于Exchange 2013 的企業內部郵件和協作服務，1.4. 活動目錄設計方案我們為企業設計一個域，用戶的所有計算機（服務器和客戶機）全部加入到域，用戶實現單一登錄和管理員通過域組策略實現安全及桌面管理。用戶關心問題解答2.1. 活動目錄優勢1.計算機工作組管理和AD對于基于 Micr

10、osoft Windows管理比較操作系統的計算機運行和管理在兩種模式下：工作組 (workgroup) 和域 (domain) 。在工作組模式下，計算機處于一個孤立狀態，使用計算機的用戶登錄帳號和計算機的管理均須在每臺計算機上創建或進行。當計算機超過20 臺以上時， 計算機的管理變得越來越困難，并且要為用戶創建越來越多的訪問網絡資源的帳號，用戶要記住多個訪問不同資源的帳號。而在域的模式下，用戶只需記住一個域帳號，即可登錄訪問域中的資源。并且管理員通過組策略，可以輕松配置用戶的桌面工作環境和加強計算機安全設置。域模式下所有的域帳號保存在域控制器的活動目錄數據庫中。見下圖。2.為什么要提供目錄服

11、務?對更加強大、透明且高度集成的目錄服務的不斷需求是由爆炸性增長的網絡計算所導致的。隨著局域網（LAN ）、廣域網（ WAN ）規模與復雜性的不斷提高和這些網絡不斷被連入Internet ，以及應用程序對網絡的依賴程度不斷增強并不斷被鏈接到協作企業網中的其它系統上，對目錄服務的需求也日漸增多。基于下列原因，目錄服務成為擴展的計算機系統中最重要的部件之一：簡化管理提供對用戶、應用程序和設備的單一、一致性的管理點。加強安全性向用戶提供單一的網絡資源登錄，為管理員提供強大、一致性的工具以使他們能夠管理為內部臺式機用戶、遠程撥號用戶以及外部電子商務客戶提供的安全服務。擴展的互操作性向所有活動目錄特性提

12、供基于標準的存取方式以及對通用目錄的同步支持。目錄服務兼任管理工具和用戶工具。隨著網絡中對象數量的增加，目錄服務變得必不可少。目錄服務在一個龐大的分布式系統中發揮著網絡集線器的作用。致力于這些需求，Windows 2012 服務器版引入了活動目錄- 即一套用于改進 Windows 網絡操作系統管理、安全性和互操作性的完整的目錄服務集。下圖描述了活動目錄帶來的計算機安全和管理上的一些最重要的好處。3.AD 簡化了計算機系統管理分布式系統常常導致時間的消耗和管理的冗余。當公司在他們的基礎結構上添加應用程序并雇用新的職員時，他們需要適當地向各桌面系統分發軟件并管理多個應用程序目錄。通過在單一的位置管

13、理用戶、組和網絡資源以及分發軟件和管理桌面系統配置，活動目錄可以顯著降低公司的管理費用。例如，活動目錄在同一個位置管理 Windows 用戶和 Microsoft Exchange 郵箱信息。基于下列原因，活動目錄可以從以下方面幫助公司簡化管理：消除冗余管理任務 提供對 Windows 用戶賬號、客戶、服務器和應用程序以及現存目錄同步能力進行單一點管理。降低桌面系統的行程 針對用戶在公司中所擔當的角色自動向其分發軟件， 以減少或消除系統管理員為軟件安裝和配置而安排的多次行程。更好的實現IT 資源的最大化安全地將管理功能分派到組織機構的所有層次上。降低總體擁有成本 （TCO ） 通過使網絡資源容

14、易被定位、配置和使用來簡化對文件和打印服務的管理和使用。4. 加強安全性強大且一致的安全服務對企業網絡而言是必不可少的。管理用戶驗證和訪問控制的工作往往單調乏味且容易出錯。活動目錄集中進行管理并加強了與組織機構的商業過程一致、且基于角色的安全性。例如，對多身份驗證協議 （如 Kerberos，X.509 認證以及由靈活的訪問控制模型組成的智能卡）的支持實現了對于內部桌面系統用戶、遠程撥號用戶和外部電子商務客戶強大且一致的安全服務。活動目錄使用以下方法增強安全性：改進了密碼的安全性和管理通過向網絡資源提供單一的集成、高性能且對終端用戶透明的安全服務。保證桌面系統的功能性通過根據終端用戶角色鎖定桌

15、面系統配置來防止對特定客戶主機操作進行訪問，例如軟件安裝或注冊項編輯。加速電子商務的部署通過提供對安全的Internet 標準協議和身份驗證機制的內建支持，如Kerberos,公開密鑰基礎設施（PKI ）和安全套接字協議層（SSL）之上的輕便目錄訪問協議（LDAP ）。緊密的控制安全性通過對目錄對象和構成他們的單獨數據元素設置訪問控制特權。2.2. 重要組策略介紹1.軟件分發策略通過組策略可以為域中的計算機或用戶自動分發帶有msi 包的軟件。見下圖。2.將用戶的個人數據從pc 機上重定向到服務器上重定向有利于數據的安全以及集中備份。見下圖。3.安全類組策略密碼策略2“強制密碼歷史 ”設置確定在

16、重用舊密碼之前必須與用戶帳戶相關的唯一新密碼的數量。2配置 “密碼最長使用期限”設置，以便密碼在環境需要時過期。2“密碼最短使用期限”設置確定了用戶更改密碼之前必須使用密碼的天數。2“最短密碼長度 ”設置確保密碼至少包含指定數量的字符。2“密碼必須符合復雜性要求策略”選項檢查所有新密碼以確保它們符合強密碼的基本要求。l 賬號鎖定策略帳戶鎖定策略是一項 Windows Server 2012 安全功能，它在指定時間段內多次登錄嘗試失敗后鎖定用戶帳戶。允許的嘗試次數和時間段是由為安全策略鎖定設置配置的值決定的。用戶不能登錄到鎖定的帳戶。2“帳戶鎖定時間 ”設置確定在未鎖定帳戶且用戶可以嘗試再次登錄

17、之前所必須經歷的時間長度2“帳戶鎖定閾值 ”設置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數。2“復位帳戶鎖定計數器”設置決定了 “帳戶鎖定閾值 ”復位為0 以及帳戶被解鎖之前所必須經過的時間長度。l 禁用本地管理員帳號默認情況下，每臺加入到域中的計算機都有Administrator 和 Guest 兩個帳號， Administrator 帳號在安裝時口令為空。用戶使用這個帳號權限過大，因此一般不會給用戶使用這個管理員帳號，最好的做法就是通過組策略禁用這個帳號，用戶使用域的帳號。l 將域帳號加入到每臺PC 機的本地 Power Users組中創建域帳號時，默認情況下這個帳號只屬于Domain

18、Users 組中，該組屬于每臺PC 機的本地Users 組。本地 Users 組中的成員權限受到嚴格限制，比如共享文件夾，安裝打印機驅動程序等工作的權限都沒有。而經常有用戶需要這些權限，可以通過組策略來實現。l 禁用系統服務我們為優化系統和安全性考慮，經常要禁用計算機的一些無需運行的服務。我們可以通過組策略把這些服務禁用掉。l 軟件限制策略對一些規定不得使用的軟件可以通過組策略來禁用：2路徑規則：特殊文件路徑下的軟件不得使用：如program files 下的某些軟件2證書規則：只有系統管理員頒發過證書的軟件可以使用，其他軟件禁止使用2哈希規則：對禁止使用的軟件通過哈希運算得到這個軟件的身份指

19、紋，在組策略里設置只要是符合身份指紋鑒定的軟件就進行限制l 網絡連接控制策略用戶經常會通過改變“網絡連接 ”中的設置，繞過企業防火墻，建立自己的上網鏈路，比如電話撥號上網。這樣會帶來很大的安全隱患。可以通過組策略限制用戶不得改變網絡連接中的配置，不允許用戶通過其他方式連接互聯網。2.3. 計算機從工作組加入到域可能存在的問題和解決方法把計算機從工作組模式加入到域模式可能會出現以下二個問題問題：1. 一些軟件不能使用。有一些軟件以登錄者的管理員權限帳號運行，當計算機加入到域并對登錄帳號做了權限設置，或禁用了本地管理員帳號，這些需要管理員權限運行的軟件就有可能不能正常運行。2. 用戶桌面環境發生改

20、變。由于加入域前后用戶是用不同的帳號登錄的，因此用戶以前的桌面環境無法使用。具體有2桌面上放置的資料2“我的文檔 ”等放置的資料2配置好的 “網絡打印機 ”2IE 里設置好的 “網站收藏夾 ”等。解決方法：1.對問題 1 我們可以按以下兩個方法來解決：(1)把域帳號加入到本地管理員組(2)卸載軟件，用域帳號登錄并安裝2.對問題 2 針對不同的問題分別解決如下：(1)把本地老帳號下的桌面內容全部備份下來，復制到新域帳號的桌面(2)把本地老帳號下的“我的文檔 ”內容全部備份下來，復制到新域帳號的“我的文檔 ”(3)重新連接和創建“網絡打印機 ”(4)用特殊軟件把老帳號IE 里的 “網站收藏夾 ”備

21、份下來，然后恢復到新域帳號中3.活動目錄方案實施3.1. AD 域命名和 DNS 的規劃Windows 2012 AD域命名和DNS的規劃之所以放在首要地位，是因為AD作為整個IT架構的基礎，不應該輕易被調整。盡管安裝后，Windows 2012 AD仍然可以重組和改名，這一點比Windows 2000 AD有了很大的進步，但是我們仍然建議做一個長遠規劃，使得域命名和DNS 服務能夠滿足企業3-5 年的需求，盡量避免配置好后改作調整地巨大人力物力浪費。此外，部署 Windows 2012 AD ，還必須確定DNS 服務器，確保它們滿足域控制器定位器系統的要求。一個支持 AD 的 DNS 至少需

22、要滿足以下要求：必須支持服務定位資源記錄（SRV ）應該支持DNS 動態更新協議（RFC 2136）Windows 2012 Server 提供的DNS 服務同時滿足這些要求，并且還提供下列重要的附加功能和改進：Active Directory集成： DNS 服務把區域數據存儲在目錄中，使得DNS 復制創建多個主域，也減少了對維護一個單獨的DNS 區域傳送復制拓撲的要求。安全動態更新：使得一個管理員可以精確地控制哪些計算機可以更新哪些名稱，并防止未經授權的計算機從 DNS 獲得現有的名稱。條件轉發：根據不同的對外訪問的域名后綴，可以將用戶的DNS 名稱解析請求轉發到不同的外部DNS 服務器。存

23、根區域： 可以定時地刷新和外部DNS 服務器的連接， 及時發現那些可能有故障、不再響應用戶請求的服務器，提高用戶DNS 名稱解析的效率。3.2. 確定 AD 邏輯結構Windows 2012 活動目錄的邏輯結構由三個基本組件組成：森林、域和OU 。1、確定森林規劃森林是 Windows 2012 AD域的集合。在很多情況下，單一森林就足夠了。單一森林環境易于建立和維護，森林間的域自動建立雙向可傳遞內部信任關系，不要求手動建立外部信任配置，在安裝Exchange 2013Server 等應用程序時，只需應用一次架構更改即可影響所有域。如果各個單位有下列管理要求，就必須建立一個以上的森林：不互相信

24、任管理員。希望限制信任關系范圍。不同意某種森林架構更改策略。架構更改、配置更改會影響到森林中所有的域。如果單位不同意一個公共架構策略，它們就不能共存于同一個森林中。2、制定域規劃規劃域結構時，始終遵循 “簡單是最好的投資 ”的設計原則，盡管增加某些復雜結構可以增值，但是簡單的結構更易于說明、維護和調試。一開始時總是僅考慮每個森林中僅有一個域，然后為每一個增加的新域提供詳細的理由，確保添加到森林中的域都是有益的，因為它們會帶來相應的管理開銷而導致一定程度的成本上升。創建更多的域的三種可能的原因是：希望實現相對分散式得IT 管理模式：多域結構更容易進行相對獨立的管理、委派和權限控制。另外，不同的用

25、戶帳戶在一個域內是不能出現重名的，多域之間就沒有限制。對于人士管理相對獨立的集團下屬公司，多域結構具有更好的靈活性。希望實現不同管理策略要求：包括用戶口令策略、賬戶鎖定策略和EFS 加密策略。例如，要求某些人必須取 8 個字符以上的口令， 而其它人不做限制。 為此，必須將這些需要不同安全策略的用戶放在單獨的域中。希望減小 WAN 上的復制流量：域控制器域間復制將產生比域內復制少的多的流量。如果公司很大，具有跨地區的組織結構，且處于同一個森林內，則在不同地理位置上的機構可能使用慢速的WAN 鏈路連接。為減少 WAN 上的 DC 復制流量，可以在不同的地理位置設置不同的域。根據以上考慮，我們建議，

26、企業Windows 2012 AD 域邏輯結構可以采用“單森林、單域 ”的結構設計。3.3. 確定 AD 物理結構Windows 2012 AD 物理結構主要是規劃站點拓撲，用于幫助您決定在網絡的什么地方放置域控制器，以及管理域控制器之間的復制流量和用戶登錄流量。考慮到企業的地理分布情況，應該考慮使用多站點拓撲來規劃Windows 2012 AD物理結構。從繪制基本的網絡拓撲布局圖著手工作，繪制所有可能的站點（Site）和站點鏈接（Site Link）。速度快（10Mbps 以上）、連接可靠的LAN網絡總是放置在單站點中。站點定義為一組通過快速、可靠的線路連接起來的IP子網。一般而言，具有LA

27、N速度或更快速度的網絡被認為是快速網絡。窄帶的、或不太可靠的連接可以使用站點鏈接建立多站點網絡。通常， WAN 連接一般被認為是窄帶連接。如果建立站點鏈接，實現多站點網絡模式，則：客戶計算機在登錄到域時首先試圖與位于同一站點的DC 通信；Windows 2012 AD 復制使用站點拓撲產生復制連接。3.4. 規劃 OU 結構和組策略組織單元（ OU ）是一個用來在域中創建分層管理單位的容器。在域中創建OU 結構時，必須注意始終按照“誰管理什么 ”的原則，從 IT 管理的需要出發，劃分管理模型的結構，而不是簡單按照公司業務單位和它的不同分支、部門和項目來創建 OU 結構。考慮 OU 的下列特性是

28、很重要的：OU 可以是嵌套的。一個 OU 可以包含子 OU，使得可以在域中創建一個分層的目錄樹結構。但是嵌套太多將導致管理復雜和低效，所以建議以二級嵌套為最理想，最多不應超過四級嵌套。OU 可以用來委派管理和控制對目錄對象的訪問。不能使 OU 成為安全組的成員， 也不能因為用戶被委派管理OU 或駐留在 OU 中而自動獲得訪問資源的權限。可以在 OU 上實施組策略。組策略是基于 Windows 2012 注冊表的修改， 從而集中控制用戶和計算機的工作環境、桌面配置、 軟件自動安裝和刪除的管理手段。一般而言，安全策略必須在域級別實施，其它策略主要在OU 級別實施。不鼓勵用戶在 OU 結構中瀏覽。沒

29、有必要設計一個吸引最終用戶的OU 結構。盡管用戶有可能瀏覽一個域的OU 結構，但對于用戶查找資源來說，這并不是一個最有效的方法。在目錄中查找資源的最有效的方法是查詢全局編錄。有兩個理由需要在 Windows 2012域中創建 OU 結構：創建 OU 以管理對象和委派授權。為組策略創建 OU 。一個完全為管理和委派而設計的OU 結構與一個完全為組策略而設計的OU 結構是不同的。 OU 結構將很快變得相當復雜。每次添加一個OU 到規劃中時，要記下創建的具體原因。這有助于確保每個OU 有一個目的，并將幫助閱讀規劃的人理解結構所基于的理由。3.5. 創建 OU 以管理和委派在單位中委派管理有一些好處。

30、 以前，在單位中除了 IT 之外的組可能必須將更改請求提交到高級管理員，高級管理員代表他們進行更改。委派特定的權限可以將責任分散到單位中的各個組，使您可以將必須有高級訪問權限的用戶的數量降到最少。權限受到限制的管理員所發生的事故或錯誤所產生的影響只限于他們負責的范圍。這一工作包括以下步驟：確定創建何種OU創建的 OU 結構將完全取決于管理是如何在單位中委派的。委派管理的三種方法是：按物理位置、按業務單位（公司部門）、按角色或任務。三種方法經常結合使用。修改訪問控制列表：修改OU 的訪問控制列表(ACL) 可以授予一個組對OU 的特定權限，從而實現對該量委派權限給組賬戶而不是單獨的用戶，如果可能

31、，委派到本地組而不是全局組或通用組。委派步驟。從域中的默認結構開始，按下列主要步驟創建OU 結構：OU的委派管理。盡通過委派完全控制創建OU 的頂層；創建OU 的下層來委派每個對象類別控制。3.6. 創建 OU 支持組策略使用Windows 2012 ，可以使用組策略定義用戶和計算機配置，并將這些策略與站點、域或OU 關聯。是否要創建附加的OU 以支持組策略的應用取決于制定的策略以及所選擇的實現方案，包括：定義客戶計算機的管理與桌面配置標準定義軟件的自動分發特殊組策略應用配置與管理在 Windows 2012 中，組策略設置是管理員啟用集中更改和配置客戶計算機管理的主要方法。可用組策略為某個特

32、定的用戶組和計算機組創建指定的安全限制和桌面環境配置。Windows 2012組策略有100 多種與安全有關的設置和450 多種基于注冊表的設置，為您管理用戶計算機環境提供了眾多選項。Windows 2012 組策略：可根據活動目錄定義或在計算機本地進行定義；可用 Microsoft 管理控制臺（ MMC ）或 *.adm 文件保存和管理；是安全的；不會在實施的策略改變時把設置留在用戶配置文件中；應用于指定的活動目錄容器（站點、域與 OU ）中的用戶或計算機；可由安全組的用戶或計算機成員進一步控制；可用來配置多種類型的安全設；可用于實施登錄、注銷、啟動及關閉腳本；可用于安裝和維護軟件；可用于重

33、定向文件夾（如My Documents 和Application Data文件夾）；可用于在Microsoft Internet Explorer中執行維護。可以按下列三個步驟配置和管理組策略：管理站點、域或OU 的組策略鏈接：默認情況下，只有域管理員組和企業管理員組可以配置站點、域或部門的組策略。可在站點、域或“屬性 ”頁的 “組策略 ”選項卡中指定鏈接至站點、域或OU 的組策略對象。 Active Directory為基礎的安全設置。創建組策略對象：OU 的支持以每個屬性默認情況下，只有域管理員組、企業管理員組和組策略創建者（所有者）組的成員可以創建新的組策略對象。如果域管理員想使一個非管

34、理員用戶或組能夠創建組策略對象，則可將該用戶或組添至組策略創建者（所有者）安全組中。這樣，他們就可以創建、修改自己的組策略對象，并成為該組策略對象的創建者和所有者。編輯組策略對象：默認情況下，組策略對象接受域管理員、企業管理員及組策略創建者（所有者）組成員的完全控制，課以便機組策略，但非管理員用戶沒有設置組策略鏈接的應用權。3.7. 應用組策略選項如果能認真應用組策略選項，即使開始用數據極其多的文件夾重定向選項和軟件安裝選項，也能夠改善網絡的響應時間。應恰當地應用組策略選項，尤其在剛開始時，更要仔細測試所有建議的更改，以確保不損壞網絡性能。下面是一些可用的選項：安全組篩選選項：可針對某個特定組

35、策略對象實施篩選，使之不能對篩選的計算機和用戶組生效。不許替代（強制繼承）和阻止繼承選項：例如，如果在域層次定義了一個指定的組策略對象，并已指定組對象是強制的（不許替代），那么組策略對象所包含的策略設置就會應用于該域中的所有 OU ；層次較低的容器 (OU) 將無法替代此域的組策略，一般用于安全設置。也可阻止從父 Active Directory 容器繼承組策略。但是，不許替代（強制繼承）策略選項始終比阻止繼承策略選項優先。處理 “環回 ”策略設置的策略選項：默認的設置使計算機策略優先于用戶策略起作用，但有時必須要優先實施用戶策略，組策略的環回功能使管理員能夠實現這一設置。主要用在軟件安裝這一類的策略上。低速鏈接處理的選項：許多用戶，如使用便攜式計算機的用戶、遠離建筑物或在分部工作的用戶，有時會用低速連接至網絡。可對組策略進行配置，使部分策略不