作為微軟最新的服務器平臺，Windows Server 2008確實強大。基于Server 2008D的AD功能更強勁，管理更加細化，特別是在組策略方面有了不少改進。比如，筆者將要和大家分享的這兩例應用，在實踐中就能幫你解決很多難題。

　　使用過Vista的用戶應該知道，通過組策略可以在本地主機實現對移動磁盤(USB存儲設備\光驅\移動硬盤)的權限管理。如果要統一實現對所有客戶端(Vista或非Vista)的移動設備的權限管理，該怎么辦呢?在Windows Server 2008的域環境下，這一切輕松實現。

　　首先將Server 2008配置成AC(域控制器)，并將所有的客戶端加入該域，然后只需在Server 2008上進行如下部署即可。依次執行“開始→管理工具→組策略管理”打開組策略管理器;找到需要部署該策略的域(本例為fr.zhongtian.com)，展開后定位到Default Domain Policy(默認策略);右鍵點擊該策略選擇“編輯”打開“組策略管理編輯器”，依次展開“計算機配置→管理模板→系統→可移動存儲訪問”;在右側找到“可移動磁盤：拒絕讀取權限”和“可移動磁盤：拒絕寫入權限”兩項，雙擊啟用策略。最后打開命令行工具(cmd)，輸入命令“gpupdate /force”更新組策略，使剛才的策略生效，這樣默認情況下只有域管理員有權限讀寫移動磁盤。

　　為了驗證效果我讓某客戶端登錄fr域，然后插入移動設備(比如U盤)，進行文件的讀寫操作。如圖所示，彈出拒絕窗口該操作被拒絕提示只有管理員才有權限執行操作。點擊“跳過”按鈕，輸入有權限的用戶才可實現操作。

　　密碼是系統安全一道關鍵屏障，大家知道在在Windows2000/2003上，密碼策略只能指派到域(Site)上，不能單獨應用于活動目錄中的具體對象。這在實際應用中帶來了諸多不便，更多情況下我們需要為不同組的用戶部署不同的密碼策略和帳戶策略。在Win2008中引入了多元密碼策略的技術，使得我們的上述需求得到實現。

　　還是在AC中(以fr.zhongtian.com域為例)，“開始→運行”輸入ADSIEdit打開ADSI編輯器。依次展開“默認命名上下文 [WIN-13VNNRJ6FIP.fr.zhongtian.com] →DC=fr,DC=zhongtian,DC=com→CN=System”定位到CN=Password Settings Container;然后在該節點上單擊右鍵選擇“新建→對象”在彈出的對話框中選中“msDS-PasswordSettings”類別，單擊“下一步”在cn屬性對話框中輸入“值”為“fr-pso”(任意)。然后一路“下一步”依據向導進行密碼策略的定制。其具體的設置項、含義和值分別為：

　　(1).msDS-PasswordSettingsPrecedence，設置密碼策略的優先級，數值越小優先級越高，設置為“10”;

　　(2).msDS-PasswordReversibleEncryptionEnabled，設置是否啟用“用可還原的加密來存儲密碼”策略，其值是個布爾值，可選擇FALSE或者TRUE，在此我們設置為“FALSE”;

　　(3).msDS-PasswordHistoryLength，對應組策略中的“強制密碼歷史”，可選范圍是0-1024，我們設置為12;

　　(4).msDS-PasswordComplexityEnabled，對應組策略中的“密碼必須符合復雜性要求”，也是一個布爾值，我們設置為“TRUE”;

　　(5).msDS-MinimumPasswordLength，設置密碼長度最小值為10;

　　(6).msDS-MinimumPasswordAge，設置密碼最短使期限為1:00:00:00(1天);

　　(7).msDS-MaximumPasswordAge，設置密碼最常使用期限為20:00:00:00(20天);

　　(8).msDS-LockoutThreshold，設置帳戶鎖定閥值為3(可以范圍0-65535);

　　(9).msDS-LockoutObservationWindow，設置復位帳戶鎖定計數器為0:00:30:00(30分鐘);

　　(10).msDS-LockoutDuration，設置帳戶鎖定時間為0:00:30:00(30分鐘)。

　　這樣，一個自定義的密碼和帳戶鎖定就創建完成了，那么如何應用在具體的某些帳戶上呢?還需要進行如下操作。退回到ADSI編輯器窗口找到剛才創建的fr-pso帳戶密碼策略對象并雙擊打開，拖動滑竿找到并選中msDS-PSOAppliesTo屬性，點擊下面的“編輯”按鈕在彈出的對話框中點擊“添加Windows帳戶”按鈕，通過向導將frs全局用戶組添加進來，最后“確定”即可。這樣，就將剛才創建的名為fr-pso帳戶密碼策略賦予frs組中的用戶了。當然，還可以通過添加更多的用戶或者用戶組。在實際應用中大家可以根據需要，定制不同的密碼策略然后將其賦予特定的用戶或者組。

　　為了驗證效果，我們可以做個策略，首先打開“組策略管理編輯”將Default Domain Policy(默認策略)下的“帳戶策略”中的“密碼策略”進行修改：警用“密碼必須符合復雜性要求”，密碼長度最小值更改“3個字符”，接著在命令下輸入gpupdate /force更新組策略。下面將ctocio的帳戶的密碼更改為123，可以看到命令成功完成。然后我們將ctocio加入frs組，輸入同樣的命令修改其密碼為123，可以看到提示“密碼不滿足密碼策略的要求。檢查最小密碼長度、密碼復雜性和密碼歷史的要求。”，說明我們創建的帳戶及其密碼策略生效了。

　　域環境下，在AC中部署的策略就相當于整個域中至高無上的法則，善用域策略將幫我們解決很多問題。除了上面例子外，Windows Server 2008的組策略在整個域中進行軟件分發、網絡打印機部署、安全管理等方面發揮著巨大的作用。

關鍵字：Server 2008、域環境、組策略、服務器