域伺服器的策略管理

1、域控制器，如何修改組策略？

有兩種方法可以訪問組策略：一是通過gpedit.msc命令直接進入組策略窗口；二是打開控制台，將組策略添加進去。
1. 輸入gpedit.msc命令
選擇「開始」→「運行」，在彈出窗口中輸入「gpedit.msc」，回車後進入組策略窗口（圖1）。組策略窗口的結構和資源管理器相似，左邊是樹型目錄結構，由「計算機配置」、「用戶配置」兩大節點組成。這兩個節點下分別都有「軟體設置」、「windows設置」和「管理模板」三個節點，節點下面還有更多的節點和設置。此時點擊右邊窗口中的節點或設置，便會出現關於此節點或設置的適用平台和作用描述。「計算機配置」、「用戶配置」兩大節點下的子節點和設置有很多是相同的，那麼我們該改哪一處？「計算機配置」節點中的設置應用到整個計算機策略，在此處修改後的設置將應用到計算機中的所有用戶。「用戶配置」節點中的設置一般只應用到當前用戶，如果你用別的用戶名登錄計算機，設置就不會管用了。但一般情況下建議在「用戶配置」節點下修改，本文也將主要講解「用戶配置」節點的各項設置的修改，附帶講解「計算機配置」節點下的一些設置。其中「管理模板」設置最多、應用最廣，因此也是本文的重中之重。

通過控制台訪問組策略

單擊「開始」→「運行」，輸入「mmc」，回車後進入控制台窗口。單擊控制台窗口的「文件」→「添加/刪除管理單元」，在彈出窗口單擊「添加」（圖2），之後選擇「組策略」並單擊「添加」（圖3），在下一步的「選擇組策略對象」對話框中選擇對象。由於我們組策略對象就是「本地計算機」，因此不用更改，如果是網路上的另一台計算機，那麼單擊「瀏覽」選擇此計算機即可。另外，如果你希望保存組策略控制台，並希望能夠選擇通過命令行在控制台中打開組策略對象，請選中「當從命令行開始時，允許更改『組策略管理單元』的焦點」復選框（圖4）。最後添加進來的組策略如圖5所示。

2、如何在伺服器里修改域成員的組策略

打開所有程序 如果是DC的話 應該會有一個 域組策略的選項 你進去做你想做的策略就OK了。

3、域控制器組策略密碼策略被鎖定，如何解決？

你肯定運行了gpedit.msc，這個在伺服器添加AD之後會失效。
伺服器上添加完林、域專之後你是無法修改組策略屬（gpedit.msc）的，基本上所有的選項都是灰色的！因為那是本地的組策略，他的功能已經被其所在的域控制器所取代，所以必須到域策略裡面修改，開始-管理工具-域控制器安全策略-這里可以修改伺服器本機策略。
如果想修改域中其他計算機策略，請修改開始-管理工具-域安全策略-賬戶策略--這里可以修改域中客戶機密碼策略！
在server 2008和server r2或更高版本的伺服器中，可以直接運行gpmc.msc來管理域組策略。在出現的窗口中，選擇自己的域控名稱，右邊窗口選擇Default Domain Policy右鍵屬性可修改，因為server 2008 開始菜單中沒有域安全策略的。

4、伺服器AD活動目錄中如何更改域策略?

活動目錄之用戶配置文件分類:電腦技術
關於域用戶的開設在前面的文章中(如何把一台成員伺服器提升為域控制器(一)、(二))已經涉及過了，所以在這里開設用戶的方法就不再重復了，本篇文章主要向大家介紹一下用戶配置文件。
首先，什麼是用戶配置文件?根據微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統載入所需環境的設置和文件和集合，它包括所有用戶專用的配置設置。用戶配置文件存在於系統的什麼位置呢?那麼用戶配置文件包括哪些內容呢?來給大家看一副截圖:

用戶配置文件的保存位置在:系統盤(一般是C盤)下的「Documents and Settings」文件夾下，有一個和你的登陸用戶名相同的文件夾，該用戶配置文件就保存在這里，順便提示一下，如果本機和域上有一個同名用戶，並且都登陸過的話，那麼就會出現在同名文件夾後面拖後綴的情況，舉個例子:比如在一個域(demo.com)裡面有一台計算機(testxp)，本地有一個swg的帳號，域上也有一個swg的帳號，並且都登陸過這台計算機，那麼會發生如下情況:

本地帳號先登陸:那麼本地的swg的用戶配置文件夾為swg，而域用戶的用戶配置文件夾為swg.demo。

域帳號先登陸:那麼域用戶的用戶配置文件夾為swg，本地用戶的配置文件夾為swg.testxp。

通過上面的截圖，我們可看出，用戶配置文件包括桌面設置、我的文檔、收藏夾、IE設置等一些個性化的配置。另外需要說明的是在「Documents and Settings」文件夾下有一個名為「All Users」的文件夾，如果你在這個文件夾下的「桌面」文件夾下新建一個文件的話，你會發現所有用戶在登陸時的桌面上都有這個文件，所以這個文件夾里的配置是對這台計算機的每個用戶均起作用的。

當網路變成域構架後，所有的域用戶可以在任意一台域內的計算機登陸，當你在一台計算機上的用戶配置文件修改後，你會發現到另一台計算機上登陸時，所有的設置還是原來的，並沒有發生修改，這是因為用戶的配置文件是保存在本地的，不管是域用戶還是本地用戶，都是保存在那台登陸的計算機上。我們可以在「我的電腦」上擊「右鍵」，選「屬性」，點「高級」，然後在「用戶配置文件」里點「設置」:

請注意「類型」里用紅框標出的部分，全部是「本地」，這就說明用戶配置文件保存在本地，那麼如何才能讓用戶的配置文件隨著帳號走，也就是不管用戶在哪台計算機上登陸都能保持用戶配置文件一致呢?為了解決這個問題，就要用到漫遊用戶配置文件，原理就是把用戶配置文件保存在一個網路的公共位置，當用戶在計算機上登陸里，會從網路公共位置把用戶配置文件下載到本地並加以應用，然後當用戶注銷時，會把本地的用戶配置文件同步到網路公共位置，以保證公共位置用戶配置文件的有效性，以便下一次使用。那麼如何來實現這個功能呢?現在就來實踐一下:

首先，要在一個網路的公共位置開設一個共享文件夾，用來存放用戶配置文件，在個實驗里，就在域控制器上開設一個為share的共享文件夾，並開放許可權:

然後，點擊「開始-設置-控制面板-管理工具」，雙擊「AD用戶和計算機」，並選中相應的用戶，這里以「swg」帳號為例:

在「swg」帳號上雙擊，然後選「配置文件」，在「用戶配置文件-配置文件路徑」里輸入:\\192.168.5.1\share\%username%，「192.168.5.1」是域控制器的IP地址，如下圖所示:

然後點確定，接下去就到客戶端去，用「swg」帳號登陸一下，看看會發生什麼變化。

如上圖所示，DEMO\swg的狀態由剛剛的「本地」變成了「漫遊」，此時注銷一下用戶，那麼就會自動的將該用戶的本地用戶配置文件同步到網路公共位置，如果再用「swg」到另外的域內計算機上去登陸的話，會發現所有的用戶配置文件和這台計算機上是一樣的。那麼伺服器上發生了些什麼變化呢?

如上圖所示，伺服器的「share」文件夾里會自動創建一個和用戶名一樣的「swg」文件夾，默認情況下這個文件夾只允許對應的用戶打開:

畫面很熟悉吧?

目前很多公司的IT Pro都有共同的感嘆，就是用戶喜歡把自己的桌面什麼的搞得亂七八糟，雖然通過組策略可以限制掉一部份，但總覺得不是很完善，在這里，向大家推薦使用強制用戶配置文件，用戶可以對自己個人配置文件任意修改，但是一旦注銷後，這些修改將不會被保存，這樣用戶下次登陸里，用戶的配置文件還是保持和原來一樣，那麼如何實現這個功能呢?其實只要將用戶配置文件夾下的「Ntuser.dat」改成「Ntuser.man」就可以了，來看一下修改過程:

首先，在顯示隱藏文件和已知文件的擴展名，可以在「工具-文件夾選項-查看」里進行修改：

~

點「確定」後，就可以在看到那個「Ntuser.dat」文件了，但此時會有一個問題，如果去修改C:\Documents and Settings\swg下的「Ntuser.dat」，會發現根本沒有辦法修改這個文件，因為文件在使用中，無法修改;如果去修改網路公共位置的「Ntuser.dat」，也就是\\192.168.5.1\share\swg下的「Ntuser.dat」，修改當然可以修改，但是由於在「swg」用戶注銷的時候，本地的「Ntuser.dat」會把網路公共位置的「Ntuser.man」覆蓋掉，也就是等於沒有修改。很多人都想直接在伺服器上更改 「swg」文件夾的所有者，然後給管理員帳號添加許可權，這樣就可以直接在伺服器上把「Ntuser.dat」改掉，但本人實踐過幾次，都發現這樣的操作會引起一些許可權無法繼承，而導致出錯的情況，所以不建議大家使用，這里推薦一種方法:

先把「swg」帳號注銷掉，然後用另外一個帳號登陸，比如管理員，當然，如果在登陸成功後直接去訪問\\192.168..5.1\share\swg以試圖修改的話，那麼你將會感到失望，因為還是拒絕訪問的，那麼如何訪問並修改呢，可以這樣操作，「開始-運行-cmd」然後回車，這樣就啟動了命令行，在命令行下輸入:net use \\192.168.5.1 password /user:swg，顯示「命令成功完成」，這樣就利用「swg」和伺服器建立一個連接，此時就可以\\192.168.5.1\share\swg，里進行修改了，

然後再注銷管理員帳號，用「swg」登陸，看看有沒有成功:

看到了吧，類型由「漫遊」變成了「強制」，現在可以在桌面這些地方進行任意的修改，你會發現注銷再登陸，又恢復到了原樣。這種設置在多人使用同一個帳號的情況下非常有用。

最後再請大家注意兩個問題:

1、 在配置強制用戶配置文件時，當用其它用戶登陸修改時，請保證被修改的用戶處於注銷狀態，為什麼?大家不妨自己想一想!

2、 當使用漫遊用戶配置文件時，請不要在桌面等地方存放一些大型的程序或文件，因為用戶在登陸和注銷過程中會下載和上傳配置文件，如果文件過大，會影響登陸和注銷的速度。

5、域伺服器與組策略怎麼結合

注冊表是Windows系統中保存系統軟體和應用軟體配置的資料庫，而隨著Windows功能越來內越豐富，注冊表裡容的配置項目也越來越多，很多配置都可以自定義設置，但這些配置分布在注冊表的各個角落，如果是手工配置，可以想像是多麼困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達到方便管理計算機的目的。
其實簡單地說，組策略設置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。

6、域伺服器的組策略就是域策略?

安裝GPMC組件管理組策略。

在AD裡面添加域用戶，到最後一步出現下列提示:
打開域安全策略。

管理工具——域安全設置——安全設置——帳戶策略——密碼策略，
把左邊的「密碼必須符合復雜性要求」改為禁用。再把密碼長度的最小值改為0。
這個是自己的策略，以免自己沒許可權修改內容。其他的策略按自己的要求去建立，需要什麼就設置什麼
記得
運行——CMD——gpupdate /force
在DC上設置完 命令行裡面gpupdate一下，表示策略生效。這樣應該可以了

7、域控伺服器上組策略編輯後如何在客戶機上生效，急

首先你的方法不對

應該採取如下設置，在紅色部分填入你需要指向文件夾的地址，然後用戶登錄之後會在我的電腦雙擊之後出現你配置的這個快捷方式連接。

8、伺服器AD活動目錄中如何更改域策略?

首先要確認你想更改的是域安全策略還是域策略，如果是域安全策略的話就是在回管理工具當中選取就可答以了，如果是域策略就是在AD用戶與計算機這里，右擊域的屬性會出現組策略選項，上面的就是默認的域策略了，如果提示沒許可權打開的話可能樓主域共享卷出現問題，請檢查默認的域共享卷然後再運行dcgpofix這個命令重建組策略，希望我的回答對你有幫助。

9、域控伺服器組管理策略單元

你的這個是2003的系統
管理組策略可以安裝GPMC這個組件
你的第一個圖就是裝好GPMC組件後。

2008以後GPMC就集成在系統里了，不需要再安裝！
就是這么會事！

10、如何在域伺服器上設置組策略來控制客戶端的服務狀態???

SERVICE的狀態不能直接控制，你可以編輯個BAT腳本，讓域用戶登陸後自動運行來控制服務的狀態