组策略是Windows系统中自带的一套功能强大的系统管理工具,我们平时经常使用的在“开始\运行”中输入“gpedit.msc”命令,所打开的是本地组策略编辑器,它只能对本地计算机进行管理配置,管理的对象只是单独的一台计算机。我们在这里要用到的组策略是指在活动目录中对所有或部分指定的计算机或域用户进行统一管理,功能要更为强大。在活动目录中灵活配置和使用各种组策略,可以极大地减轻管理员的工作负担,提高工作效率。
1. 组策略的基本设置
在活动目录中,可以设置组策略的对象有:站点、域、组织单位OU。如果网络中只存在一个域,那么可以设置组策略对象的只有域和OU。
这三个对象之间存在层次关系,站点的级别最高,OU则处在最底层。在每个上层对象上设置的组策略都会自动继承到下层对象上。如在域上设置了一个组策略,则域中的所有OU也都会有相同的设置。但是越下层对象组策略的优先级越高,如分别在域和OU上各自设置了一个组策略,这两个组策略中的某些设置产生了冲突,则以OU的组策略为准,因为它的优先级更高。
可以通过“开始”菜单中的“管理工具\组策略管理”对组策略进行统一管理。
组策略是通过组策略对象(Group Policy Object,GPO)来设置的,只要将GPO链接到指定的站点、域或组织单位,此GPO内的设置值就会影响到该站点、域或组织单位内的所有用户与计算机。
在活动目录中已经有两个内置的GPO:
Default Domain Policy:此GPO默认已经被链接到域,因此其设置值会被应用到整个域内的所有用户与计算机。
Default Domain Crotoller Policy:此GPO默认已经被链接到组织单位Domain Controllers,因此其设置值会被应用到组织单位Domain Controllers内的所有用户与计算机。在组织单位Domain Controllers内,默认只有域控制器的计算机账户。
对这两个默认的GPO建议不要做任何的改动设置,我们下面所做的所有操作都是通过在“组策略对象”中新建GPO来完成。
在“组策略对象”中新建一个名为“Device Mapper”的GPO。
在“Device Mapper”GPO上单击右键,执行“编辑”,打开组策略管理编辑器。
在“计算机配置”中做的所有设置,面向的对象是域中的计算机,这些设置会在客户端计算机重启时生效;在“用户配置”中做的所有设置,面向的对象是域中所有的用户,设置会在用户登录时生效。
组策略内的设置可再区分为“策略设置”与“首选项设置”两种。
策略设置是强制设置,客户端应用这些设置后就无法更改。首选项设置非强制性,客户端可自行更改设置值,因此首选项设置适合于用来当做默认值。另外,在策略设置与首选项设置内有部分相同的设置项目,如果这些项目都已做了设置,而其设置值却不相同时,则以策略设置优先。
注意,要应用首选项设置的客户端必须安装支持首选项设置的client-side extension(CSE),在Window 7或Windows Server 2008系统中已自带有CES,如果是Windows Server 2003或Windows XP系统,需要从微软网站下载安装CSE。
2. 利用组策略实现磁盘映射
下面通过一个简单的磁盘映射实例来介绍一下组策略的编辑和使用方法。
实现目的
操作方法
1、首先在服务器PDC上创建共享文件夹share,并赋予Everyone读取权限。
2、对刚才创建的“Device Mapper”GPO进行编辑。
展开“用户配置\首选项\Windows设置\驱动器映射”,单击右键,执行“新建\映射驱动器”。
在“操作”下拉列表中选择“更新”,在“位置”文本框中输入共享文件夹的路径\\pdc\share,将共享文件夹映射为K盘,勾选“重新连接”以便每次登录时都会自带连接到共享文件夹。
其中“操作”下拉列表中可有以下选择:
创建:会在客户端计算机创建用来连接此共享文件夹的K盘。
替换:客户端若已存在网络驱动器K:的话,则将其删除后改为使用此处的设置来替换。若不存在K:磁盘的话,则添加。
更新:修改客户端的K:磁盘设置,例如修改客户端连接共享文件夹时所使用的用户账户与密码。若客户端不存在K:磁盘的话,则添加。
删除:删除客户端的K:磁盘。
此处我们选择的是“更新”。
然后再单击“常用”标签,勾选“在登录用户的安全上下文中运行(用户策略选项)”。客户端的CSE默认是使用本地系统账户的身份来处理首选设置的项目,而本地用户无权访问域中的资源,勾选该选项可以让CSE改用用户登录身份来处理首选设置的项目。
组策略设置好之后,关闭组策略管理编辑器。然后在“人事部”OU上点击右键,选择“链接现有GPO”,将刚才创建的“Device Mapper”GPO链接到OU上,使之对“人事部”OU内的用户生效。
下面以人事部OU内用户lisi的身份在成员计算机client1上登录进行验证,登录之后打开“计算机”,可以发现已被成功映射的K盘。
如果要将GPO禁用,可以在GPO上单击右键,取消“已启用链接”前的勾选即可。