使用全域性组策略控制 MMC 的使用
要修改全域性组策略,您必须是域管理员组的成员。
 | 使用全域性组策略控制 MMC 使用的步骤 |
打开“Active Directory 用户和计算机”。
“Active Directory 用户和计算机”管理单元仅在配置为 Active Directory 域控制器的计算机上才可以使用。若要打开“Active Directory 用户和计算机”,请单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
在树中右键单击要配置策略的组织单位,然后单击“属性”。
在“组策略”选项卡上,单击“编辑”。
将打开“组策略”编辑器。
关闭“Active Directory 用户和计算机”管理单元之前,执行以下过程之一:
限制访问域的 MMC 中的作者模式
| 限制访问域的 MMC 中的作者模式的步骤 |
在树中单击“Microsoft 管理控制台”。
在以下路径中找到“Microsoft 管理控制台”对象:“策略名策略\用户配置\管理模板\Windows 组件\Microsoft 管理控制台”。
在结果窗格中双击“限制用户进入作者模式”。
在“策略”选项卡上执行以下操作之一:
-
若要允许用户使用 MMC 中的作者模式,请单击“未配置”或“已禁用”。
-
若要限制用户使用 MMC 中的作者模式,请单击“已启用”。
-
若要允许用户使用 MMC 中的作者模式,请单击“未配置”或“已禁用”。
单击“确定”。
限制访问域管理单元的允许列表
| 限制访问域管理单元的允许列表的步骤 |
在树中单击“Microsoft 管理控制台”。
“Microsoft 管理控制台”对象位于以下路径中:策略名策略\用户配置\管理模板\Windows 组件\Microsoft 管理控制台。
在结果窗格中双击“限制用户只能使用列表中明确允许的管理单元”。
在“策略”选项卡上执行以下操作之一:
-
若要允许用户访问未明确限制的管理单元,请单击“未配置”或“已禁用”。
-
若要限制用户访问未明确允许的任何管理单元,请单击“已启用”。
-
若要允许用户访问未明确限制的管理单元,请单击“未配置”或“已禁用”。
单击“确定”。
 | 注意 |
|
如果启用此策略,则只有允许的管理单元才会显示在 MMC 的“添加独立管理单元”对话框中可用管理单元列表中。 |
允许或限制访问域的管理单元
| 允许或限制访问域的管理单元的步骤 |
在树中单击“受限的/许可的管理单元”。
在以下路径中找到“受限的/许可的管理单元”对象:“策略名策略\用户配置\管理模板\Windows 组件\Microsoft 管理控制台\受限的/许可的管理单元”。
-
在结果窗格中双击要允许或限制的管理单元,然后执行以下操作之一:
-
若要使用户可以访问此管理单元(除非用户受“限制用户只能使用列表中明确允许的管理单元”策略的限制),请单击“未配置”。
-
若要允许用户访问此管理单元,请单击“已启用”。
-
若要限制用户访问此管理单元,请单击“已禁用”。
-
若要使用户可以访问此管理单元(除非用户受“限制用户只能使用列表中明确允许的管理单元”策略的限制),请单击“未配置”。
-
单击“确定”。
| 注意 |
|
限制或明确允许访问管理单元时,将管理单元添加到受限的或许可的管理单元列表中。受限列表优先于许可列表,因此当两个列表中存在相同的管理单元时,则对该管理单元的访问会受到限制。 |
其他信息
-
Active Directory 只适用于已配置组策略编辑器的网络。您必须是域管理员(或具有同等权限)并使用配置为域控制器的计算机,才能配置域的组策略编辑器。
-
有关这些设置中任何设置的详细信息,请在所选组策略设置的对话框中单击“说明”选项卡,并参阅“帮助”。