如果您想在自己的Windows 7計算機上直接管理Active Directory群組策略對象，而不想總是通過遠程桌面或VNC的遠程聯(lián)機到DC主機來完成，該怎么做呢？

安裝遠程服務(wù)器管理工具包

在Windows 7的桌面環(huán)境上，直接管理Active Directory的群組策略對象，就必須先下載專用的遠程服務(wù)器管理工具包，簡稱 RSAT（Remote Server Administration Tools）。 在RSAT整個管理工具包中所包含的遠程工具項目，除了群組策略管理工具之外，您還可以選用其他功能管理工具（包括BitLocker密碼復(fù)原查看器、群集管理工具、負載平衡工具、SMTP服務(wù)器工具、儲存設(shè)備導(dǎo)覽工具、Windows系統(tǒng)資源管理員工具）、角色管理工具（包括Active Directory服務(wù)憑證工具、AD DS與AD LDS工具、DHCP服務(wù)器工具、DNS服務(wù)器工具、檔案服務(wù)工具、Hyper-V工具以及遠程桌面服務(wù)工具）以及服務(wù)器管理員。

中文RSAT工具下載網(wǎng)址：

http://www.microsoft.com/downloads/details.aspx?displaylang=zhtw&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d

只要完成了RSAT工具的下載與安裝，便可以到Windows 7操作系統(tǒng)的“控制面板”中點選“開啟 或 關(guān) 閉 Windows功 能”，接著便可以展開“Remote Server Administration Tools→Feature Administration Tools”節(jié)點，來選取安裝“Group Policy Management Tools”。

在完成了群組策略管理工具的安裝之后，便可以在“開始”菜單的“系統(tǒng)管理工具”選單中，點選開啟“Group Policy Management”。在我們使用群組策略管理工具聯(lián)機到Active Directory之后，便可以針對特定的組織容器（OU），點擊鼠標右鍵，點選“Create a GPO in this domain and Link it here”項目，來建立自定義的群組策略對象。請在“New GPO”的頁面中，輸入一個新的群組策略對象名稱，即可準備開始群組策略進行設(shè)置。

使用MMC管理群組策略

另一種管理群組策略對象的方法，則是先執(zhí)行MMC來開啟管理控制臺接口，然后在“檔案”下拉選單中點選“新增/移除嵌入式管理單元”繼續(xù)。接下來便可以將“Group Policy Management Editor”項目新增進來。

上述操作的執(zhí)行過程中，將會開啟向?qū)гO(shè)置頁面，請點選“Browse”按鈕來選取所要編輯的群組策略對象。在點選進入指定的網(wǎng)域以及組織單位后，便可以在選取指定的群組策略對象之后，點選“確定”按鈕即可進入編輯接口。

應(yīng)用過程控制策略設(shè)置前的準備工作

當您準備通過群組策略的方式，來集中設(shè)置有關(guān)應(yīng)用程序策略控制之前，客戶端的Windows 7操作系統(tǒng)需要完成哪一些設(shè)置呢？其實在準備開始設(shè)置應(yīng)用過程控制策略之前，所有Windows 7客戶端操作系統(tǒng)中的“Application Identity”服務(wù)，必須是設(shè)置為開機時自動啟動才可以。若想要通過群組策略來管理的話，請在“群組策略編輯器”接口中切換到“Computer Configuration→Policies→Windows Settings→安全性設(shè)置→系統(tǒng)服務(wù)”項目節(jié)點上，接著，點選“Application Identity”項目設(shè)置繼續(xù)。

在“Application Identity”安全性策略設(shè)置的頁面中，將啟動模式設(shè)置為“自動”，點選“編輯安全性設(shè)置”按鈕繼續(xù)。接著將會開啟“安全性Application Identity”，請采用系統(tǒng)默認值即可，點選“確定”完成設(shè)置。

一旦確認了所有欲管理的Windows 7客戶端都已經(jīng)啟動 了“Application Identity”服務(wù)之后，便可以在此界面中點選至“安全性設(shè)置（Security Settings）→應(yīng)用過程控制策略→Application Control Policies→ AppLocker”項 目節(jié)點上，來開始管理所有關(guān)于應(yīng)用過程控制策略的設(shè)置。

注意：如果我們的Windows 7或Windows Server 2008 R2系統(tǒng)中，已經(jīng)套用了舊有群組策略中的“軟件限制策略”功能時，那么此時若在相同的群組策略對象的設(shè)置中加入“應(yīng)用程序策略控制”設(shè)置，則將導(dǎo)致只會有“應(yīng)用程序策略控制”被套用，因此在這種情況下建議您分開成兩個不同的群組對象來個別進行管理。