windows組策略管理

1、Windows2008組策略管理 目 錄Windows2008組策略管理1一、導(dǎo)讀1二、組策略概述2三、組策略基礎(chǔ)架構(gòu)21計(jì)算機(jī)配置部分32用戶配置部分5四、本地組策略和域組策略61.本地組策略62.域組策略7五、組策略的管理和維護(hù)81.創(chuàng)建組策略82.鏈接組策略103組策略應(yīng)用順序114組策略的阻止和強(qiáng)制繼承125組策略備份13六、組策略應(yīng)用場(chǎng)景舉例151.應(yīng)用組策略設(shè)置用戶工作環(huán)境152.應(yīng)用組策略配置高級(jí)安全Windows防火墻223.應(yīng)用組策略實(shí)現(xiàn)軟件部署264.應(yīng)用組策略實(shí)現(xiàn)QoS帶寬管理30七、組策略管理控制臺(tái)使用進(jìn)階361.使用策略結(jié)果分析策略應(yīng)用情況362.使用組策略建模模擬策

2、略應(yīng)用結(jié)果39八、參考資料43一、 導(dǎo)讀組策略的構(gòu)成組策略的生效規(guī)則及順序組策略在實(shí)際管理環(huán)境中的應(yīng)用舉例檢查策略結(jié)果二、 組策略概述在Windows Server 2008和Windows Vista的環(huán)境中,組策略在功能特性都有了不少的擴(kuò)大與加強(qiáng)。目前已有了超過(guò)5000個(gè)設(shè)置，擁有更多的管理能力。使組策略來(lái)簡(jiǎn)化IT環(huán)境管理，已成為用戶必須了解的技術(shù)。實(shí)際上組策略是一種讓管理員集中計(jì)算機(jī)和用戶的手段或方法。組策略適用于眾多方面的配置，如軟件、安全性、IE、注冊(cè)表等等。在活動(dòng)目錄中利用組策略可以在站點(diǎn)、域、OU等對(duì)象上進(jìn)行配置，以管理其中的計(jì)算機(jī)和用戶對(duì)象，可以說(shuō)組策略是活動(dòng)目錄的一個(gè)非常大的

3、功能體現(xiàn)。通過(guò)此章的學(xué)習(xí)，將讓您更擅長(zhǎng)、高效的管理組策略的設(shè)計(jì)、實(shí)施、應(yīng)用和排錯(cuò)。三、 組策略基礎(chǔ)架構(gòu)如圖所示組策略分為兩大部分：計(jì)算機(jī)配置和用戶配置。每一個(gè)部分都有自己的獨(dú)立性，因?yàn)樗麄兣渲玫膶?duì)象類型不同。計(jì)算機(jī)帳戶部分控制計(jì)算機(jī)帳戶，同樣用戶配置部分控制用戶帳戶。其中有部分配置在計(jì)算機(jī)部分擁有在用戶部分也有同樣的配置，他們是不會(huì)跨越執(zhí)行的。假設(shè)某個(gè)配置選項(xiàng)你希望計(jì)算機(jī)帳戶啟用、用戶帳戶也啟用，那么就必須在計(jì)算機(jī)配置和用戶配置部分都進(jìn)行設(shè)置?？傊?jì)算機(jī)配置下的設(shè)置僅對(duì)計(jì)算機(jī)對(duì)象生效，用戶配置下的設(shè)置僅對(duì)用戶對(duì)象生效。1 計(jì)算機(jī)配置部分展開計(jì)算機(jī)配置部分你會(huì)看到如圖有三個(gè)主要的部分: 軟件設(shè)置

4、 這一部分相對(duì)簡(jiǎn)單,它可以讓你實(shí)現(xiàn)MSI、ZAP等軟件部署分發(fā)。 Windows設(shè)置這一部分更復(fù)雜一些，包含很多子項(xiàng)，如圖子項(xiàng)都提供很多選擇，賬戶策略能夠?qū)τ脩糍~戶密碼等進(jìn)行管理控制；本地策略則提供了更多的控制如審核、用戶權(quán)利、以及安全設(shè)置。特別是安全設(shè)置包括了超過(guò)75個(gè)的策略配置項(xiàng)。還有其它的地一些設(shè)置，如防火墻設(shè)置、無(wú)線網(wǎng)絡(luò)設(shè)置、PKI設(shè)置、軟件限制等等。 管理模板這一部分使設(shè)置項(xiàng)最多的，包含各式各樣的對(duì)計(jì)算機(jī)的配置。如圖這里有五個(gè)主要的配置管理方向，Windows組件、打印機(jī)、控制面板、網(wǎng)絡(luò)、系統(tǒng)。其中包含了超過(guò)1250個(gè)設(shè)置選項(xiàng)，涵蓋了一臺(tái)計(jì)算的非常多的配置管理信息。2 用戶配置部分用

5、戶配置部分類似于計(jì)算機(jī)配置，主要不同在于這一部分配置的目標(biāo)是用戶賬戶的，而相對(duì)于用戶賬戶而言會(huì)有更多對(duì)用戶使用上的控制。如圖所示這一部分同樣也包含三大部分 軟件設(shè)置我們可以通過(guò)在這里配置實(shí)現(xiàn)針對(duì)用戶進(jìn)行軟件部署分發(fā)。 Windows設(shè)置這一部分就與計(jì)算機(jī)配置里的Windows設(shè)置有了很多的不同，如圖可以看到其中多了“遠(yuǎn)程安裝服務(wù)”“”、“文件夾重定向”、“IE維護(hù)”等，而在安全設(shè)置中只有“公鑰策略”和“軟件限制”“。 管理模板在這一部分展開后，你會(huì)發(fā)現(xiàn)比起計(jì)算機(jī)配置里的管理模板這里有更多的配置，如圖：用戶部分的管理模板可以用來(lái)管理控制用戶配置文件，而用戶配置文件是可以影響用戶對(duì)計(jì)算機(jī)使用體驗(yàn)，

6、所以這里面出現(xiàn)了“開始菜單”“、”桌面“、”“任務(wù)欄”、“共享文件夾”等配置。四、 本地組策略和域組策略1. 本地組策略Windows 2000、windows xp、windows vista、windows 2003、windows 2008等等計(jì)算機(jī)都有且只有一份本地組策略。本地組策略的設(shè)置都存儲(chǔ)在各個(gè)計(jì)算機(jī)內(nèi)部，不論該計(jì)算機(jī)是否屬于某個(gè)域。本地組策略包含的設(shè)置要少于非本地組策略的設(shè)置，像在“安全設(shè)置”上就沒有域組策略那么多的配置，也不支持“文件夾重定向”和“軟件安裝”這些功能。在任意一臺(tái)非域控制器的計(jì)算機(jī)上編輯管理本地組策略步驟如下：1）在開始菜單中運(yùn)行，輸入MMC2）在MMC控制臺(tái)點(diǎn)

7、擊“文件”“，再點(diǎn)擊“添加刪除管理單元”3）在列表中選擇“組策略對(duì)象編輯器”，并點(diǎn)擊添加4）在向?qū)Ы缑嫔夏J(rèn)出現(xiàn)“本地計(jì)算機(jī)策略“，點(diǎn)擊完成，點(diǎn)擊確定5）展開“本地計(jì)算機(jī)策略“，展開”計(jì)算機(jī)配置“、”用戶配置“如圖：2. 域組策略與本地組策略的一機(jī)一策略不同,在域環(huán)境內(nèi)可以有成百上千個(gè)組策略能夠創(chuàng)建和存在于活動(dòng)目錄中。并且能夠通過(guò)活動(dòng)目錄這個(gè)集中控制技術(shù)實(shí)現(xiàn)整個(gè)計(jì)算機(jī)、用戶網(wǎng)絡(luò)的基于組策略的控制管理。在活動(dòng)目錄中我們可以為站點(diǎn)、域、OU創(chuàng)建不同管理要求的組策略，而且允許每一個(gè)站點(diǎn)、域、OU能同時(shí)設(shè)施多套組策略。我們可以使用windows server 2008自帶組策略管理工具來(lái)查看管理組策略

8、，步驟如下：1）開始菜單中點(diǎn)運(yùn)行，輸入gpmc.msc2）在GPMC管理界面展開森林和域節(jié)點(diǎn)3）在域節(jié)點(diǎn)展開組策略對(duì)象節(jié)點(diǎn)這樣就能看到如下圖所示的組策略列表。從上圖的列表中，我們可以去創(chuàng)建更多的組策略，并且能夠根據(jù)需求將組策略應(yīng)用到相應(yīng)的站點(diǎn)、域、OU去，實(shí)現(xiàn)對(duì)整個(gè)站點(diǎn)、整個(gè)域、或某個(gè)特定OU的計(jì)算機(jī)和用戶的管理控制。五、 組策略的管理和維護(hù)1. 創(chuàng)建組策略在域環(huán)境中已經(jīng)有了一套默認(rèn)的域組策略,我們可以通過(guò)對(duì)默認(rèn)域策略進(jìn)行配置,實(shí)現(xiàn)我們對(duì)全域里的計(jì)算機(jī)和用戶管理配置。但這不是一種好的做法。通常我們需要進(jìn)行配置管理時(shí)都將新建一套組策略來(lái)進(jìn)行配置實(shí)現(xiàn)管理。要新建立一個(gè)組策略步驟如下：在開始菜單運(yùn)行

9、gpmc.msc或者從開始菜單導(dǎo)向到”管理工具”,然后選擇”組策略管理”快捷方式,打開“組策略管理”控制臺(tái)在組策略管理控制臺(tái),右鍵點(diǎn)選”組策略對(duì)象”，點(diǎn)“新建”在新建GPO對(duì)話框輸入要新建的組策略名稱，一般推薦命名時(shí)體現(xiàn)該組策略將要實(shí)現(xiàn)的管理功能以及應(yīng)用的范圍，如下圖“財(cái)務(wù)部門軟件部署策略”，這樣有利于將來(lái)對(duì)大量的組策略進(jìn)行管理，甚至排錯(cuò)。輸入完成后點(diǎn)擊確定，這樣就創(chuàng)建好了，接下來(lái)就可以點(diǎn)選創(chuàng)建好的組策略進(jìn)行編輯配置。2. 鏈接組策略在我們建立好了一些新的組策略后，還需要將組策略與容器對(duì)象鏈接起來(lái)，以實(shí)現(xiàn)管理目的。我們可以鏈接的容器有站點(diǎn)、域和OU，通過(guò)對(duì)不同的容器進(jìn)行鏈接，可以達(dá)到對(duì)管理范圍

10、的控制。比如我們只需要對(duì)Sales部門的計(jì)算機(jī)或用戶進(jìn)行一些基于組策略的管理配置，那么我們就可以將某個(gè)新建立的組策略與Sales部門的OU進(jìn)行鏈接。鏈接組策略步驟如下：在開始菜單運(yùn)行g(shù)pmc.msc或者從開始菜單導(dǎo)向到”管理工具”,然后選擇”組策略管理”快捷方式,打開“組策略管理”控制臺(tái)，在控制臺(tái)上選擇好需要鏈接策略站點(diǎn)、域或者OU，右鍵后選擇“鏈接現(xiàn)有GPO”，下圖以財(cái)務(wù)部OU鏈接“財(cái)務(wù)部門軟件部署策略”組策略為例。3 組策略應(yīng)用順序組策略由于應(yīng)用范圍劃分可以分為站點(diǎn)級(jí)別組策略、域級(jí)別組策略、OU級(jí)別組策略以及本地計(jì)算機(jī)策略。對(duì)于一臺(tái)客戶端一定是屬于某一個(gè)站點(diǎn)、某一個(gè)域、某一個(gè)OU的，那么各

11、個(gè)級(jí)別的組策略客戶端都將應(yīng)用，它們的應(yīng)用生效的順序是最接近目標(biāo)計(jì)算機(jī)的組策略 優(yōu)先于組織結(jié)構(gòu)中更遠(yuǎn)一點(diǎn)的組策略。如下圖：該順序意味著首先會(huì)處理本地組策略，最后處理鏈接到計(jì)算機(jī)或用戶直接所屬的組織單位的組策略，后處理的組策略會(huì)覆蓋先處理的組策略中有沖突的設(shè)置。（如果不存在沖突，則只是將之前的設(shè)置和之后的設(shè)置進(jìn)行結(jié)合。）4 組策略的阻止和強(qiáng)制繼承從上一節(jié)我們了解到的組策略應(yīng)用順序，其實(shí)就是一個(gè)默認(rèn)繼承的規(guī)則。在域內(nèi)次一級(jí)的容器會(huì)默認(rèn)繼承使用上一級(jí)的容器鏈接的組策略。假設(shè)在域策略中我們?cè)O(shè)置了用戶不允許更改桌面的策略配置，那么該域內(nèi)的財(cái)務(wù)部門OU中的用戶默認(rèn)情況下都會(huì)應(yīng)用該策略配置。但是我們可以根據(jù)實(shí)

12、際應(yīng)用需求去人為的干預(yù)默認(rèn)的繼承規(guī)則，可以阻止或強(qiáng)制繼承。阻止繼承：在“組策略管理”控制臺(tái)中，右鍵選擇要不繼承上一級(jí)容器組策略的容器，選擇阻止。如圖：強(qiáng)制繼承：在實(shí)際應(yīng)用中有時(shí)我們需要上一級(jí)容器的組策略配置被應(yīng)用到子容器中去，并且要求在沖突時(shí)不被子容器的策略覆蓋，我們這時(shí)就可以使用強(qiáng)制繼承。同樣在“組策略管理控制臺(tái)”上，右鍵點(diǎn)選上一級(jí)的組策略對(duì)象，然后選擇“強(qiáng)制”，如圖：5 組策略備份打開組策略管理控制臺(tái),在控制臺(tái)樹中，展開“組策略對(duì)象”。 要備份單個(gè) GPO，右鍵單擊該 GPO，然后單擊“備份”。要備份域中的所有 GPO，右鍵單擊“組策略對(duì)象”，然后單擊“全部備份”。在“備份組策略對(duì)象”對(duì)話

13、框中，輸入您想保存?zhèn)浞莸穆窂降健拔恢谩笨颍騿螕簟盀g覽”定位到您想保存?zhèn)浞莸奈募A，然后單擊“確定”。在“描述”框中，輸入您要備份的 的描述，然后單擊“備份”。操作完成后，單擊“確定”。六、 組策略應(yīng)用場(chǎng)景舉例1. 應(yīng)用組策略設(shè)置用戶工作環(huán)境在這類場(chǎng)景中我們假定要對(duì)整個(gè)域內(nèi)的用戶工作環(huán)境做一些統(tǒng)一的設(shè)定，因此新建了一套組策略“全域用戶工作環(huán)境策略”并鏈接到了域級(jí)別容器上，而后開逐項(xiàng)配置（好的做法是在逐項(xiàng)配置完成后再鏈接到相應(yīng)容器），如圖：應(yīng)用組策略來(lái)設(shè)定工作環(huán)境的配置項(xiàng)非常之多，在本節(jié)我們以四個(gè)場(chǎng)景為例：場(chǎng)景1實(shí)現(xiàn)“我的文檔”文件夾重定向，確保用戶在網(wǎng)絡(luò)中任意節(jié)點(diǎn)登陸，都可訪問(wèn)各自的數(shù)據(jù)，且確

14、保不因?yàn)榭蛻舳斯收蠈?dǎo)致“我的文檔”中文件丟失。步驟1：在域內(nèi)文件服務(wù)器上新建一個(gè)共享文件夾，并賦予此文件所有用戶都有通過(guò)網(wǎng)絡(luò)訪問(wèn)的讀寫權(quán)限。這里假定共享文件夾的訪問(wèn)路徑為：FileServerdocroot步驟2：打開編輯“全域用戶工作環(huán)境策略”，定位到“用戶配置”“文件夾重定向”“文檔”，右鍵選擇屬性，如圖：步驟3：進(jìn)行屬性配置編輯，如下圖：步驟4：設(shè)置完成，對(duì)客戶端測(cè)試，本書略。場(chǎng)景2控制客戶端顯示統(tǒng)一桌面壁紙?jiān)O(shè)定，實(shí)現(xiàn)企業(yè)工作環(huán)境統(tǒng)一的VI形象。步驟1：打開編輯“全域用戶工作環(huán)境策略”，定位到“用戶配置”“管理模板”“桌面”，如圖：步驟2：設(shè)定統(tǒng)一的桌面墻紙文件，雙擊上圖中右邊“桌面墻紙

15、”，進(jìn)行配置，如下圖：步驟3：設(shè)定用戶不能自行修改桌面，雙擊“桌面墻紙”之上的配置項(xiàng)“不允許更改”進(jìn)行啟用配置。如圖：步驟4：配置完成，對(duì)客戶端進(jìn)行測(cè)試，本書略。場(chǎng)景3實(shí)現(xiàn)客戶端驅(qū)動(dòng)器不自動(dòng)播放，有時(shí)由于光驅(qū)的自動(dòng)播放文件不好讀取時(shí)會(huì)導(dǎo)致系統(tǒng)資源占用甚至死機(jī)，還有些時(shí)候只是系統(tǒng)剛認(rèn)到一個(gè)U盤就讓機(jī)器中毒了，這些現(xiàn)象全都可以通過(guò)禁止驅(qū)動(dòng)器自動(dòng)播放的策略得到終結(jié)。步驟1：打開編輯“全域用戶工作環(huán)境策略”，定位到“用戶配置”“管理模板”“windows組件”“自動(dòng)播放策略”步驟2：在右邊工作區(qū)雙擊“關(guān)閉自動(dòng)播放”進(jìn)行配置，如圖：場(chǎng)景4限制移動(dòng)磁盤使用加強(qiáng)企業(yè)文件安全性。這項(xiàng)功能比起在windows2

16、003中用組策略實(shí)現(xiàn)來(lái)說(shuō),windows 2008實(shí)現(xiàn)起來(lái)就簡(jiǎn)單太多了。步驟1：打開編輯“全域用戶工作環(huán)境策略”，定位到“用戶配置”“管理模板”“系統(tǒng)”“可移動(dòng)存儲(chǔ)訪問(wèn)”步驟2：在右邊工作區(qū)選擇相應(yīng)需求的配置進(jìn)行啟用設(shè)定，如圖2. 應(yīng)用組策略配置高級(jí)安全Windows防火墻Windows Server 2008中的高級(jí)安全防火墻(WFAS)有了較大的改進(jìn)，支持雙向保護(hù)，可以對(duì)出站、入站通信進(jìn)行過(guò)濾,而且還集成了”連接安全規(guī)則”設(shè)定。可以實(shí)現(xiàn)企業(yè)所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)以及身份驗(yàn)證設(shè)置。更有實(shí)用價(jià)值的是,如果你使用組策略來(lái)在一個(gè)企業(yè)網(wǎng)絡(luò)中配置高級(jí)安全Windows防火墻的話，可以配置一個(gè)

17、域中所有計(jì)算機(jī)使用相同的防火墻設(shè)置,并且本地系統(tǒng)管理員是無(wú)法修改這個(gè)規(guī)則的屬性的。 場(chǎng)景:某企業(yè)所有計(jì)算機(jī)都在統(tǒng)一域環(huán)境內(nèi),并且該企業(yè)要求較高的安全網(wǎng)絡(luò)通訊，希望做到非域內(nèi)的計(jì)算機(jī)或者非域內(nèi)的用戶無(wú)法正常訪問(wèn)域內(nèi)數(shù)據(jù)。使用組策略步驟如下：步驟1：打開組策略管理控制臺(tái)，定位到“組策略對(duì)象”，新建“域內(nèi)安全網(wǎng)絡(luò)通訊策略”步驟2：打開“域內(nèi)安全網(wǎng)絡(luò)通訊策略”進(jìn)行編輯，定位到“計(jì)算機(jī)配置”“windwos設(shè)置”“安全設(shè)置”“高級(jí)安全Windows防火墻”“連接安全規(guī)則”右鍵點(diǎn)“新規(guī)則”如圖：步驟3：編輯新規(guī)則，選擇“隔離”“入站和出站連接要求身份驗(yàn)證”“計(jì)算機(jī)和用戶（kerberos V5）”“計(jì)算機(jī)

18、連接到域時(shí)應(yīng)用規(guī)則”如圖：步驟4：輸入規(guī)則名稱，這里取名為“安全的域內(nèi)連接規(guī)則”步驟5：將編輯好的“域內(nèi)安全網(wǎng)絡(luò)通訊策略”鏈接到域，完成配置。3. 應(yīng)用組策略實(shí)現(xiàn)軟件部署在企業(yè)中常常會(huì)有批量的軟件安裝需求，有時(shí)是所有客戶端需要，有時(shí)是某個(gè)部門需要。更有特殊情況是要求某些用戶無(wú)論在哪個(gè)計(jì)算機(jī)上登錄都可使用某個(gè)軟件。在此我們分兩個(gè)場(chǎng)景來(lái)給大家介紹用組策略實(shí)現(xiàn)軟件部署。場(chǎng)景1財(cái)務(wù)部的人員有大量原始票據(jù)掃描圖片需要查看，因此需要給財(cái)務(wù)部門的電腦都安裝上Acdsee這個(gè)圖片工具。出于以上需求我們決定用組策略來(lái)實(shí)現(xiàn)對(duì)財(cái)務(wù)部門的軟件部署。步驟1：打開組策略管理控制臺(tái)，定位到“組策略對(duì)象”，新建“財(cái)務(wù)部門軟件

19、部署策略”步驟2：在域中的文件服務(wù)器服務(wù)器新建共享文件夾允許財(cái)務(wù)人員訪問(wèn)，并將需要安裝的軟件放入該文件夾。步驟3：打開“財(cái)務(wù)部門軟件部署策略”進(jìn)行編輯，定位到“計(jì)算機(jī)配置”“軟件設(shè)置”“軟件安裝”右鍵后點(diǎn)選屬性步驟4：進(jìn)行軟件分發(fā)站點(diǎn)的設(shè)置，如圖設(shè)置步驟2的共享文件夾路徑步驟5：添加要安裝的軟件，如圖步驟6：將“財(cái)務(wù)部門軟件部署策略”鏈接到“財(cái)務(wù)部PC”O(jiān)U，如圖步驟7：重新啟動(dòng)財(cái)務(wù)部門的PC，完成軟件安裝。場(chǎng)景2繼場(chǎng)景1的環(huán)境，財(cái)務(wù)部門的PC都安裝了Acdsee軟件，可以財(cái)務(wù)部門的工作人員提出有時(shí)候他們需要到其他機(jī)器上也使用這個(gè)軟件，但那些機(jī)器的其他用戶并不需要這個(gè)軟件?；谶@種需求我們?nèi)稳?/p>

20、可以用上一場(chǎng)景的“財(cái)務(wù)部門軟件部署策略”來(lái)實(shí)現(xiàn)。步驟1：打開“財(cái)務(wù)部門軟件部署策略”進(jìn)行編輯，定位到“用戶配置”“軟件設(shè)置”“軟件安裝”右鍵后點(diǎn)選屬性步驟2：進(jìn)行軟件分發(fā)站點(diǎn)的設(shè)置，配置方式參考場(chǎng)景1步驟4步驟3：添加要安裝的軟件，參考場(chǎng)景1步驟5步驟4：將“財(cái)務(wù)部門軟件部署策略”鏈接到“財(cái)務(wù)部USER”O(jiān)U步驟5：完成設(shè)置，財(cái)務(wù)人員登錄機(jī)器后則可開始安裝使用。綜合分析說(shuō)明：在兩個(gè)場(chǎng)景中我們使用了同一套“財(cái)務(wù)部門軟件部署策略”，我們?cè)诖瞬呗缘挠?jì)算機(jī)部分和用戶部本均做了配置，當(dāng)我們把它鏈接到“財(cái)務(wù)部PC”O(jiān)U時(shí)，由于“財(cái)務(wù)部PC”O(jiān)U內(nèi)的帳戶都是計(jì)算機(jī)帳戶，所以“財(cái)務(wù)部門軟件部署策略”的用戶部分

21、不會(huì)產(chǎn)生作用。反之策略鏈接到“財(cái)務(wù)部USER”O(jiān)U時(shí)由于此OU內(nèi)賬戶均是用戶帳戶，也就只有策略的用戶配置部分會(huì)產(chǎn)生作用。此外需說(shuō)明的是，在用戶部分配置的軟件安裝，在用戶登錄時(shí)軟件并沒有真的被安裝上，策略中設(shè)置的安裝方式是“指派”時(shí)需要在用戶點(diǎn)擊了快捷方式后才真正安裝；策略中設(shè)置的安裝方式是“發(fā)布”時(shí)需要在用戶進(jìn)入”添加刪除程序“中進(jìn)行安裝。提示：以上場(chǎng)景用來(lái)幫助大家理解組策略軟件部署，在實(shí)際應(yīng)用中并不推薦把同一個(gè)軟件既指派給用戶，又指派給計(jì)算機(jī)，這樣會(huì)造成管理混亂。4. 應(yīng)用組策略實(shí)現(xiàn)QoS帶寬管理QoS帶寬管理是網(wǎng)管在管理網(wǎng)絡(luò)中一種必不可少的手段，可以有效地提高帶寬的使用率，特別是針對(duì)企業(yè)的

22、關(guān)鍵應(yīng)用，使之得到優(yōu)先的帶寬保證。Windows Server 2008 提供了以前任何版本W(wǎng)indows服務(wù)器都不具備的QoS帶寬管理策略。這就使得我們進(jìn)行QoS帶寬管理可以不再依賴于專用的設(shè)備，而且設(shè)置更為靈活簡(jiǎn)單。一般的QoS帶寬管理設(shè)備都會(huì)有一定并發(fā)數(shù)量的限制，而用組策略來(lái)控制就沒有這個(gè)問(wèn)題，因?yàn)檫@些帶寬的控制全都分布到每一個(gè)客戶端自己網(wǎng)卡上去控制了。場(chǎng)景：使用組策略分配域內(nèi)所有計(jì)算機(jī)的出口帶寬步驟1：打開“組策略管理”控制臺(tái)，新建組策略名為“全域出口帶寬限制策略”，并打開進(jìn)行配置。步驟2：定位到計(jì)算機(jī)配置windows設(shè)置基于策略的QoS，右鍵點(diǎn)擊，選擇新建策略，如圖：步驟3：設(shè)定策

23、略名稱，指定最高使用帶寬。如圖：步驟4：設(shè)定相關(guān)的應(yīng)用程序，也就是說(shuō)我們可以把上一步設(shè)定的帶寬綁定到某個(gè)特定的應(yīng)用程序上，比如FTP軟件。我們這里選擇選擇所有應(yīng)用程序。如圖：步驟5：設(shè)定要控制的數(shù)據(jù)流量的來(lái)源和方向，由于我們是要控制出口帶寬，那么我們這里只需要配置上網(wǎng)關(guān)服務(wù)器的地址作為目標(biāo)。如圖：步驟6：設(shè)定需要參與控制的協(xié)議及端口號(hào)，由于我們是要控制任何到出口網(wǎng)關(guān)的流量所以我們選擇了所有協(xié)議和所有端口。如圖：步驟7：將配置好的組策略對(duì)象鏈接到域，完成配置。策略應(yīng)用前后網(wǎng)絡(luò)帶寬使用對(duì)比如下圖:通過(guò)以上的配置過(guò)程我們可以發(fā)現(xiàn)，基于策略的QoS不但可以控制出口帶寬，還可以應(yīng)用到更多場(chǎng)景，比如某些客戶端訪問(wèn)特定服務(wù)器的流量控制，某些應(yīng)用程序在網(wǎng)絡(luò)中的流量控制。并且由