本文出自 “王达博客” 博客,转载请与作者联系!

作者已授权本博客转载

以下内容摘自笔者编著的《网管员必读——网络管理》(第2版)一书:

7.1.2  组策略对象

策略设置存储在组策略对象(GPO)中,可以使用组策略对象编辑器来编辑每个GPO的设置。在安装组策略管理控制台(GPMC)后,通常从GPMC中打开组策略对象编辑器,而不是像以前从ADUC或者ADSS中打开。

1GPO类型

Windows系统中,共有两种类型的GPO
1)基于Active DirectoryGPO
这些GPO存储在某个域中并且复制到该域的所有域控制器上。它们仅在Active Directory环境中可用。它们应用于组策略对象所链接的站点、域或部门中的用户和计算机。这是Active Directory环境中使用组策略的主要机制。
可将基于Active DirectoryGPO链接到域、站点或部门以应用其设置。
一个GPO可以链接到多个站点、域或组织单位,一个站点、域或组织单位又可以链接多个GPO。在这种情况下,在发生冲突时可使用规则来确定哪个设置优先(有关组策略处理和优先级参见节介绍),通常是按以下顺序应用设置的:本地站点部门。
对于多个GPO链接到特定站点、域或部门的情况,您可以指定优先顺序,并由此指定应用这些GPO的优先级。默认情况下,使用最后应用的配置设置。例如,假定在各GPO中将“将‘注销’添加到开始菜单”配置如下:本地GPO已禁用;站点GPO未配置;GPO已禁用;组织单位GPO为第一个应用的GPO(链接顺序2)启用,但没有为第二个应用的GPO(链接顺序1)配置。
在这种情况下,组织单位中链接顺序2中配置的“已启用”优先级高,所以最终在用户的开始菜单上将显示“注销”菜单项。
GPMC新增了对GPO复制、导入、备份和还原的支持,有关这方面的内容将在本章后面具体介绍。
2)本地GPO
每个计算机上只存储一个本地GPO。本地GPOActive Directory环境中影响力最小的GPO,本地GPO包含的设置仅为基于Active DirectoryGPO中找到的设置的一个子集。
运行Windows 2000Windows XP ProfessionalWindows XP6 4-Bit EditionWindows Server 2003操作系统的每台计算机都只有一个本地组策略对象。在这些对象中,组策略设置存储在各个计算机上,无论它们是否属于Active Directory环境或网络环境的一部分。
本地组策略对象包含的设置要少于非本地组策略对象的设置,尤其是在“安全设置”下。本地组策略对象不支持“文件夹重定向”和“组策略软件安装”。
因为它的设置可以被与站点、域和组织单位相关联的组策略对象覆盖,所以在Active Directory环境中本地组策略对象的影响力最小。在非网络环境中(或在没有域控制器的网络环境中),本地组策略对象的设置相当重要,因为此时它们不会被其他组策略对象覆盖。
本地组策略对象驻留在Systemroot\System32\GroupPolicy中。运行Windows NT 4.0或更低版本的计算机没有本地组策略对象,而且它们不能识别非本地的组策略对象。
本地GPO不支持某些扩展,如文件夹重定向或组策略软件安装。本地GPO支持许多安全设置,但是组策略对象编辑器的安全设置扩展不支持本地GPO的远程管理。因此,您若使用命令行:gpedit.msc /gpcomputer:Computer1,虽然可以在Computer1上编辑本地GPO,但是“安全设置”选项却不出现。
本地GPO始终会被处理,但它们在Active Directory环境中却是影响最小的GPO,因为基于Active DirectoryGPO优先级更高。

2用户设置和计算机设置

GPO设置可分为“用户配置”和“计算机配置”(如图7-3所示),前者保存在用户登录时应用于用户的设置,后者保存在计算机启动(引导)时应用于计算机的设置。大多数设置只出现在一个部分中,但有些设置在两个部分中都有,如“同步运行登录脚本”。如果设置出现在两个部分中,并且它们不一致,则使用计算机设置。
组策略对象_休闲
7-3  GPO中的“用户配置”和“计算机配置”两部分
“用户配置”和“计算机配置”可进一步细分为可自定义的组策略MMC扩展集。

 
7-4  更改GPO状态配置的对话框
3更改GPO的状态

默认情况下,GPO的状态是“已启用”,但是管理员可以自由更改设置。
方法是在相应GPO编辑器窗口中的GPO上单击鼠标右键,在弹出菜单中选择属性命令,在打开的对话框中选择“常规”选项卡,如图7-4所示。
组策略对象_休闲_02
7-4  更改GPO状态配置的对话框
在其中可以如果仅选择了“禁用计算机配置设置”复选框,则将禁用GPO上所有的计算机配置策略项设置;如果仅选择了“禁用用户配置设置”复选框,则将禁用GPO上所有的用户配置策略项设置;如果同时选择这两个复选框,则将禁用整个GPO上的策略设置。当客户端计算机处理GPO时,不会评估已禁用的GPO部分。
在更改GPO的状态时,从该GPO获取策略的所有站点、域和部门都会受到影响。因此,禁用GPO比禁用它的一个链接产生的影响要大得多。
GPO链接上的“强制”(以前称为“禁止替代”)比域或部门上的“阻止继承”的优先级高。如果为GPO链接打开“强制”并关闭“已启用链接”,则不应用该GPO。而“阻止继承”并不会改变直接链接到已启用“阻止继承”的域或部门的GPO的组策略设置。

4.GPO的默认权限

GPO也是一个文件,它对各用户和组对象也有默认的访问权限分配。表7-1显示了组策略对象的默认权限。
表7-1  组策略对象的默认权限
安  全  组
GPMC中显示的默认权限
Authenticated Users
GPO“作用域”选项卡上的“安全筛选”;“委派”选项卡上的“只读(来自安全筛选)”
SYSTEM
编辑设置,删除、修改安全
Domain Admins
编辑设置,删除、修改安全
Enterprise Admins
编辑设置,删除、修改安全
ENTERPRISE DOMAIN CONTROLLERS
读取
 
经验之谈
在没有Windows Server 2003架构的纯Windows 2000林中,没有给企业域控制器(Enterprise Domain Controllers)组授予GPO的任何权限。
无法删除特殊组策略对象的“默认域策略”和“默认域控制器策略”。这种限制的目的在于防止误删这些组策略对象,它们包含该域的重要的和必要的设置。