包含windows域操作系统的词条

windows应用于域的策略

组策略(Group Policy)是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。 组策略包含了“计算机配置 | Windows 设置 | 安全设置”下的安全设置。您可将预先配置的安全模板导入策略，来完成对这些设置的配置。

应用组策略

下列步骤显示了如何应用组策略，以及如何向“用户权限分配”添加安全组。

将组策略应用于组织单位或域

1.依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

2.突出显示相关域或组织单位，单击“操作”菜单，选择“属性”。

3.选择“组策略”选项卡。

注意：每个容器可应用多个策略。这些策略的处理顺序是从列表的底部向上。如果出现冲突，最后应用的策略优先。

4.单击“新建”创建一个策略，并为其指定有实际意义的`名称，如“域策略”。

注意：单击“选项”按钮可配置“禁止替代”设置。“禁止替代”是为每个单独的策略配置的，而不是为整个容器;“阻止策略继承”则是为整个容器配置的。如果“禁止替代”和“阻止策略继承”设置发生冲突，“禁止替代”设置优先。要配置“阻止策略继承”，请选中 OU 属性中的复选框。

组策略可自动更新，但为了立即启动更新过程，可在命令提示符下使用下面的 GPUpdate 命令：

　 　GPUpdate /force

向“用户权限分配”添加安全组

1.依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

2.突出显示相关 OU(如“成员服务器”)，单击“操作”菜单，选择“属性”。

3.单击“组策略”选项卡，选择相关策略(如“成员服务器基准策略”)，然后单击“编辑”。

4.在“组策略对象编辑器”中，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后突出显示“用户权限分配”。

5.在右侧窗格中，右键单击相关用户权限。

6.选中“定义这些策略设置”复选框，单击“添加用户和组”修改该列表。

7.单击“确定”。

将安全模板导入组策略

下列步骤显示了如何向组策略导入安全模板。

导入安全模板

1.依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

2.突出显示相关域或 OU，单击“操作”菜单，选择“属性”。

3.选择“组策略”选项卡。

4.突出显示相关策略，单击“编辑”。

5.依次展开“计算机配置”、“Windows 设置”，然后突出显示“安全设置”。

6.单击“操作”菜单，选择“导入策略”。

7.导航到 Security GuideJob Aids，选择相关模板，单击“打开”。

8.在“组策略对象编辑器”中，单击“文件”菜单，选择“退出”。

9.在容器属性中，单击“确定”。

　 　使用“安全配置和分析”

下列步骤显示了如何使用“安全配置和分析”来导入、分析和应用安全模板。

　 　 导入安全模板

1.依次单击“开始”、“运行”。在“打开”文本框中键入 mmc，然后单击“确定”。

2.在 Microsoft 管理控制台中，单击“文件”，选择“添加/删除管理单元”。

3.单击“添加”，突出显示列表中的“安全配置和分析”。

4.依次单击“添加”、“关闭”、“确定”。

5.突出显示“安全配置和分析”，单击“操作”菜单，选择“打开数据库”。

6.键入新的数据库名称(如 Bastion Host)，单击“打开”。

7.在“导入模板”界面中，导航到 Security GuideJob Aids，选择相关模板。单击“打开”。

分析导入的模板并与当前设置比较

1.突出显示 Microsoft 管理单元中的“安全配置和分析”，单击“操作”菜单，并选择“立即分析计算机”。

2.单击“确定”，接受默认的“错误日志文件路径”。

3.完成分析后，展开节点标题对结果进行研究。

　 　 应用安全模板

1.突出显示 Microsoft 管理单元中的“安全配置和分析”，单击“操作”菜单，选择“立即配置计算机”。

2.单击“确定”，接受默认的“错误日志文件路径”。

3.在 Microsoft 管理控制台，单击“文件”，然后选择“退出”关闭“安全配置和分析”。

Windows域

域是Windows网络中独立运行的单位，也是Windows网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元。

信任关系是连接在域与域之间的桥梁。

域管理员

域的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

域控制器（Domain Controller，简写为DC）

对于一台计算要加入域，首先会验证该计算机是否属于这个域，然后会验证用户名和密码，只有全部正确，才允许加入，访问域里共享的资源，否则只能按照普通方式访问Windows共享的资源。

域控安装

首先安装域控制器，即在一台服务器上安装活动目录（AD），这台计算机就变成了DC。

与域不同，工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，要访问其中的一个计算机，还是要到那台计算机上进行验证的。

windows是什么?

windows是操作系统。

Windows操作系统，是由美国微软公司（Microsoft）研发的操作系统，问世于1985年。起初是MS-DOS模拟环境，后续由于微软对其进行不断更新升级，提升易用性，使Windows成为了应用最广泛的操作系统。

Windows采用了图形用户界面（GUI），比起从前的MS-DOS需要输入指令使用的方式更为人性化。随着计算机硬件和软件的不断升级，Windows也在不断升级，从架构的16位、32位再到64位。

特点：

操作系统是人使用计算机硬件沟通的平台，没有良好的人机操作性，就难以吸引广大用户使用。手机领域，诺基亚手机能够占据手机市场半壁江山，手机操作系统互动性良好是其成功的重要因素之一，而其迅速的衰败也是因为操作系统的落伍。

Windows操作系统能够作为个人计算机的主流操作系统，其优异的人机操作性是重要因素。Windows操作系统界面友好，窗口制作优美，操作动作易学，多代系统之间有良好的传承，计算机资源管理效率较高，效果较好。

windows域控制器可以实现哪些功能？

域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域;每个域都有自己的安全策略，以及它与其他域的安全信任关系。

域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。

其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，你要访问其中的计算机，还是要到被访问计算机上来实现用户验证的。而域不同，域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了。

为什么是这样的呢？因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。可是大家要问了，我没有输入过什么密码啊，是的，你确实没有输入，计算机帐户的密码不叫密码，在域中称为登录票据，它是由2000的DC（域控制器）上的KDC服务来颁发和维护的。为了保证系统的安全，KDC服务每30天会自动更新一次所有的票据，并把上次使用的票据记录下来。

周而复始。也就是说服务器始终保存着2个票据，其有效时间是60天，60天后，上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的，那么该计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问请求（包括登录），解决的方法呢，简单的方法使将计算机脱离域并重新加入，KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。

因此在有域的环境下，请尽量不要在计算机加入域后使用GHOST备份系统分区，如果作了，请在恢复时确认备份是在60天内作的，如果超出，就最好联系你的系统管理员，你可以需要管理员重新设置计算机安全票据，否则你将不能登录域环境。