第1章 为什么要使用组策略 1
1.1组策略的过去、现在和未来 1
1.1.1组策略的过去 1
1.1.2组策略的现在 3
1.1.3组策略的将来 8
1.2组策略的好处 11
1.2.1更有效的管理 11
1.2.2更强大的管理 12
1.2.3可靠性 12
1.2.4扩展性 13
1.2.5安全性 13
1.2.6多样性 14
1.2.7一致性 14
1.2.8稳定性 15
1.2.9组策略的弱点 15
1.3小结 16
1.4参考资料 16
第2章 Windows Server 2008和Windows Vista的新增功能 17
2.1组策略的里程碑 17
2.2新增功能 18
2.2.1 Windows Vista组策略新增功能 18
2.2.2 Windows Server 2008组策略新增功能 25
2.2.3那么,DesktopStandard产品怎么样 29
2.3小结 30
2.4参考资料 30
第3章 组策略基础 31
3.1组策略定义 31
3.2 GPO结构概览 32
3.2.1计算机配置 33
3.2.2用户配置 35
3.3本地GPO 37
3.3.1本地策略对象 37
3.3.2管理员和非管理员本地GPO 38
3.3.3管理本地GPO 41
3.4活动目录中的GPO 42
3.5默认GPO 44
3.5.1默认域策略 45
3.5.2默认域控制器策略 48
3.6创建额外的GPO 50
3.6.1新建GPO所需的权限 51
3.6.2正确创建GPO 51
3.7小结 52
3.8参考资料 53
第4章 组策略架构 54
4.1组策略的依存关系 54
4.1.1活动目录和组策略 55
4.1.2域名系统 56
4.1.3复制 56
4.1.4 DFS 57
4.2新增的组策略服务 58
4.3在管理GPO时选择域控制器 59
4.3.1使用PDC仿真器 59
4.3.2编辑GPO时选择域控制器 60
4.4 GPO架构的组成部分 61
4.4.1组策略模板 61
4.4.2组策略容器 65
4.5 GPO复制 69
4.5.1组策略模板和SYSVOL复制 69
4.5.2活动目录复制 71
4.6客户端扩展 72
4.7小结 76
4.8参考资料 76
第5章 组策略处理 77
5.1管理作用域(SOM) 77
5.2组策略处理 80
5.2.1链接到不同节点的GPO优先级 80
5.2.2链接到相同节点的GPO优先级 82
5.3组策略处理事件 83
5.3.1后台组策略处理 83
5.3.2前台组策略处理 84
5.3.3组策略处理的同步和异步 86
5.4使用GPUpdate 87
5.5组策略更新时的版本检查 89
5.5.1客户端上的GPO版本号 89
5.5.2域控制器上的GPO版本号 90
5.6 Windows Server 2008和Windows Vista网络位置感知的改进 90
5.7修改默认的组策略处理和继承 91
5.7.1阻止策略继承 91
5.7.2强制 93
5.7.3安全筛选 94
5.7.4 WMI筛选器 95
5.7.5组策略首选项 97
5.8小结 97
5.9参考资料 98
第6章 使用GPMC 99
6.1熟悉GPMC 99
6.1.1在Windows Server 2008里启动GPMC 99
6.1.2在Windows Vista里启动GPMC 100
6.1.3 GPMC的域视图 100
6.1.4 GPMC的林视图 100
6.1.5 GPMC的站点视图 101
6.1.6 GPMC管理限制 102
6.1.7选择域控制器管理组策略 102
6.2管理GPO 103
6.2.1创建GPO 104
6.2.2链接GPO 105
6.2.3管理GPO配置 107
6.24管理GPO备份 109
6.2 5 Starter GPO 113
6.3小结 117
6.4参考资料 117
第7章 高级GPMC管理 118
7.1 GPO的管理工作 118
7.1.1搜索GPO 118
7.1.2在GPME中筛选管理模板 122
7.1.3 GPO报告 124
7.1.4组策略结果 126
7.1.5组策略建模 130
7.1.6注释 134
7.2 GPO迁移 137
7.2.1迁移GPO的理由 138
7.2.2在域之间迁移GPO的需求 138
7.2.3需要转换的GPO设置 138
7.2.4 GPO的跨域迁移 139
7.3迁移表 142
7.4小结 145
7.5参考资料 145
第8章 使用脚本和自动化来控制GPO 146
8.1 GPMC脚本 146
8.1.1 GPO的备份和还原 147
8.1.2 GPO的复制和导入 150
8.1.3创建GPO和其他GPMC对象 152
8.1.4删除GPO 156
8.1.5 GPO报告 156
8.1.6基于参数查找GPO 162
8.1.7 GPO安全 166
8.2 VBSript脚本 171
8.3 Windows PowerShell 171
8.4小结 173
8.5参考资料 173
第9章 GPO管理的安全委派 175
9.1默认安全环境 175
9.1.1 GPMC默认安全 175
9.1.2 AGPM默认安全 177
9.2组策略管理控制台(GPMC)的委派 178
9.2.1创建GPO 179
9.22链接GPO 181
9.23管理GPO 183
9.24编辑GPO 185
9.2 5 GPO建模 186
9.2.6 GPO策略结果集(RSoP) 187
9.3高级组策略管理(AGPM)的委派 188
9.3.1完全控制 188
9.3.2编辑 188
9.3.3批准 190
9.3.4查看 191
9.4最佳实践原则 192
9.4.1创建GPO 193
9.42编辑GPO 193
9.43链接GPO 194
9.44测试GPO 194
9.5小结 196
9.6参考资料 197
第10章 ADM模板、 ADMX文件和ADMX中央存储 198
10.1管理模板(.adm) 198
10.1.1默认.adm模板 199
10.1.2处理.adm模板 200
10.1.3默认安装的.adm模板 200
10.1.4导入.adm模板 201
10.1.5添加.adm模板 201
10.1.6删除.adm模板 203
10.1.7管理.adm模板 203
10.1.8 策略和首选项 205
10.2 ADMX文件 206
10.3默认ADMX文件 206
10.4同时使用.adm模板和ADMX文件 207
10.4.1场景1:在Windows Vista下管理GPO 207
10.4.2场景2:在Windows Server 2008域控制器下管理GPO 207
10.4.3场景3:在Windows XP工作站下管理GPO 208
10.5把.adm模板迁移到ADMX文件 208
10.5.1 .adm模板到ADMX文件的文件语法转换 209
10.5 .2 ADMX Migrator 210
10.6创建和使用ADMX中央存储 213
10.61创建中央存储 213
10.6.2把ADMX和ADML文件复制到中央存储 215
10.7小结 216
10.8参考资料 216
第11章 自定义ADM模板和ADMX文件 218
11.1创建自定义.adm模板 218
11.2使用.adm模板语言 220
11.2.1 .adm模板的结构 220
11.2.2 #if version语句 222
11.2.3更新注册表的语句 223
11.2.4更新GPME界面的语法 226
11.2.5 .adm模板的其他语句 237
11.2.6 .adm模板的字符串和标记限制 239
11.3 .adrn模板的最佳实践原则 239
11.4创建自定义的ADMX和ADML文件 241
11.4.1 ADMX Schema 242
11.4.2 ADMX文件结构 242
11.4.3 ADML文件结构 243
11.4.4核心ADMX文件概念 244
11.4.5把ADMX和ADML文件组合在一起 247
11.4.6使用ADMX文件的语言 248
11.5小结 253
11.6参考资料 253
第12章 组策略首选项 254
12.1组策略首选项的优点 254
12.1.1友好的用户界面 254
12.1.2成千上万个设置选项 255
12.1.3实际设置和有用设置 256
12.1.4减少桌面映像的数量 256
12.1.5减少登录脚本的需求 257
12.1.6适用于任何组织单位的设计 257
12.2首选项和策略的对比 258
12.3组策略首选项的管理和支持 259
12.3.1使用GPME管理组策略首选项 260
12.3.2部署组策略首选项CSE 260
12.4组策略首选项设置 261
12.4.1组策略首选项:Windows设置 261
12.4.2组策略首选项:控制面板设置 265
12.5组策略首选项高级设置 270
12.5.1操作模式 270
12.5.2公用标签页 271
12.5.3项目级别的目标 272
12.6首选项处理变量 289
12.7设置报告中的组策略首选项 292
12.8组策略首选项的软件开发工具包 293
12.9小结 293
12.10参考资料 293
第13章 Windows Server 2008和Windows Vista设置详解 295
13.1 GPO整体结构 295
13.2策略 296
13.2.1软件设置 296
13.2.2 Windows设置 297
13.2.3管理模板 311
13.3首选项 314
13.3.1终端服务 315
13.3.2用户账户控制 318
13.3.3登录脚本 319
13.3.4服务器 324
13.3.5硬件组件 328
13.3.6网络安全 333
13.4小结 337
13.5参考资料 337
第14章 组策略高级管理(AGPM)工具 339
14.1 AGPM的架构 340
14.1.1操作系统支持 340
14.1.2 GPMC需求 340
14.1.3服务端安装 341
14.1.4客户端安装 346
14.2 GPO的离线编辑 347
14.3修改管理 348
14.3.1修改的发生时间 348
14.3.2修改的执行用户 349
14.3.3修改的具体内容 349
14.4工作流 350
14.4.1电子邮件配置 350
14.4.2 “Pending”(待定)标签页 351
14.4.3创建GPO 352
14.4.4部署GPO 354
14.5回滚和前进 357
14.6报告 358
14.6.1设置报告 358
14.6.2差异报告 359
14.7使用模板 360
14.8回收站 361
14.9还原GPO和GPO链接 362
14.10小结 364
14.11参考资料 364
第15章 GPO排错 365
15.1组策略排错的重点 365
15.2常见的GPO问题 366
15.2.1 DNS相关的问题 366
15.2.2异步组策略处理 367
15.2.3只能前台应用的GPO设置 367
15.2.4网络连接 367
15.2.5删除WMI筛选器以后的GPO功能 368
15.2.6时间同步 368
15.2.7 PDC仿真器不可用 369
15.3使用事件日志以便排错 369
15.3.1组策略操作日志 370
15.3.2事件查看器排错过程 373
15.3.3组策略事件ID的摘要信息 382
15.4常见GPO排错工具 390
15.4.1 GPLogView 390
15.4.2 GPMC 391
15.4.3 Dcgpofix exe 392
15.4.4 GPMonitor.exe 393
15.4.5 GPResult 394
15.4.6 GPUpdate 395
15.4.7 GPOTool 395
15.5小结 396
15.6参考资料 396
附录A 第三方组策略工具 397
A.1 BeyondTrust: Privilege Manager 397
A.2 FullArmor: Workflow Studio 398
A.3 Moskowitz 399
A.3.1 PolicyPak for Applications 399
A.3.2 PolicyPak Group Policy Design Studio 400
A.4 NetIQ 401
A.4.1 Group Policy Administartor 401
A.4.2 Change Guardian 402
A.5 Quest Software: Group Policy Manager 402
A.6 SDM Software 403
A.6.1 GPExpert Troubleshooting Pak 403
A.6.2 GPExpertTM Scripting Toolkit for PowerShell 404
A.6.3 GPExpertTM Backup Manager for Group Policy 405
A.6.4 GPMC PowerShell Cmdlets 405
A.7 Special Operations Software 405
A.7.1 Specops Deploy 406
A.7.2 S eco s Inventory 407
A.7.3 Specops Command 407
A.7.4 Specops Password Policy 408
A.7.5 Specops Gpupdate 409
A.8 Sysprosoft 410
A.8.1 Po1Man 410
A.8.2 ADM Template Editor 411
A.8.3 Policy Reporter 412
A.9 TeamGPExpert 413
A.10小结 413
A.11参考资料 413
附录B 其他资源 415
B.1微软组策略网站 415
B.2 Windows Server 2003网站 415
B.3微软组策略产品组博客 416
B.4组策略网络视频站点 417
B.5组策略脚本信息库 417
B.6微软TechNet 417
B.7小结 418