目录
简介
第一学期的课程讲过配置本地安全策略,可以加强工作组中计算机的安全性。但是在域环境中,如果要对多台客户机进行同样的安全设置,是否需要在每一台计算机上单独配置呢?答案是否定的,可以通过组策略对多台客户机进行统一配置。本章主要介绍组策略的作用,如何创建组略,组策略的应用顺序,配置组策略的继承,阻止继承,强制生效和筛选等功能,最后介绍通过组策略完成软件的分发。
1.组策略简介
组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。
通俗来说,它是介于控制面板和注册表之间的一种修改系统,设置程序的工具。利用组策略可以修改Windows系统的桌面,“开始”菜单,E浏览器及其他组件等许多设置。
通过在域中实施组策略,管理员可以很方便地管理Active Directory中的所有用户和计算机的工作环境,如用户桌面环境、计算机启动/关机与用户登录/注销时所执行的脚本文件,软件安装、安全设置等,大大提高了管理员管理和控制用户和计算机的能力。
使用组策略,可以带来以下好处。
减小管理成本,因为只需设置一次,相应的用户或计算机即可全部应用规定的设置,减少用户单独配置错误的可能性。
可以针对特定对象(用户或计算机)实施特定策略。
1.1 组策略对象简介
组策略的所有配置信息都存放在GPO(Group Policy Object,组策略对象)中。组策略被视为 ActiveDirectory中的一种特殊对象,可以将GPO和活动目录的容器(站点、域和 OU)链接起来,以影响容器中的用户和计算机。组策略是通过组策略对象来进行管理的。
1.默认GPO
当Windows Server2016域创建完成时,默认有两个GPO。一个是DefaultDomain Policy(默认域策略),另一个是Default Domain ControllersPolicy(默认域控制器策略),如何查看这两个GPO呢?
在“开始”菜单中的“Windows管理工具”中打开“组策略管理”控制台,展开左侧窗格中的各个节点,找到“组策略对象”打开后就可以看到两个默认的GPO,如图所示。