组策略设计必备知识概要

转载 2004年08月19日 09:49:00

引言

在 Windows® 2000 操作系统中,您(系统管理员)使用“组策略”为用户和计算机组定义用户和计算机配置。您通过使用“组策略”Microsoft 管理控制台 (MMC) 管理单元为特定用户和计算机组创建具体的桌面配置。所创建的“组策略”配置包含在一个“组策略对象”(GPO) 中,该对象转而又与选定的 Active Directory™ 服务容器如站点、域或组织单位 (OU) 等关联。

使用“组策略”管理单元,您可以指定下列各项的策略设置:

  • 基于注册表的策略。包括 Windows 2000 操作系统及其组件以及应用程序的组策略。要管理这些设置,您可以使用“组策略”管理单元的“管理模板”节点。
  • 安全性选项。 包括针对本地计算机、域和网络安全设置的选项。
  • 软件安装和维护选项。用来集中管理应用程序的安装、更新和删除。
  • 脚本选项。 包括用于计算机启动和关闭,以及用户登录和注销的脚本。
  • 文件夹重定向选项。 允许您将用户的特殊文件夹重定向到网络。

使用组策略,您就可以对用户工作环境状态只定义一次,然后靠系统实施管理员定义的策略。

本文就设置“组策略对象”(GPO) 时的一般考虑事项为管理员提供了一个概括性的描述,包括下列各节:

  • 定义组策略要求。介绍如何确定组策略要求。策略设置构成了第一组要求,包括安全性和用户环境设置。第二组要求包括对象类型,如工作站、用户和“域控制器”(DC)。
  • 确定设置的作用域。 介绍如何定义各策略对象的作用域,并建议了一些战略,比如:为公用设置创建一个 GPO,为要求不同设置的组创建单独的 GPO。此节还讲述了对 GPO 的更改。
  • 验证 Active Directory 域/OU 设计。 介绍如何确定 Active Directory 域/组织单位 (OU) 设计能否有效地支持 GPO。
  • 管理组策略。 介绍组策略管理,特别介绍管理结构、策略和做法如何影响 GPO 模型的最终结构。
  • 测试和优化组策略。 介绍如何复查和测试组策略结构以便它有正确的行为和最佳性能。
  • 维护组策略。 介绍在组织的需要改变时,如何排除组策略的问题和维护组策略。

定义组策略要求

本节介绍如何定义组策略要求。

首先,要确定所需策略设置的类型。策略设置通常划分为以下几部分:

  • 安全设置。
  • 要部署的应用程序包。
  • 计算机系统设置。
  • 用户环境设置。
  • 特定于应用程序的设置。

下一步,确定目录中哪些类型的对象(用户,计算机)将应用这些设置。在策略设置与将要应用组策略的各对象类型之间建立交叉引用。

  • 域(密码/帐户策略)
  • 工作站
  • 用户
  • 域控制器
  • 服务器(应用程序,文件与打印)

完成此阶段工作后,组策略的初步结构就形成了。此时,各目标对象(用户、工作站等)应与包含针对此对象的所有不同设置的单个 GPO 对应起来。具体例子请参见下表 1。

表 1 组策略要求示例



工作站
用户
域控制器
服务器
安全性

密码、帐户、Kerberos 策略
PK 信任列表

用户权限
文件和注册表 ACL
审核和事件日志
本地设置

EFS 策略

用户权限
文件和注册表 ACL
审核和事件日志
本地设置

用户权限
文件和注册表 ACL
审核和事件日志
本地设置

应用程序部署


必需的核心应用程序

发布可选应用程序和组件

管理工具

管理工具

计算机设置


启动脚本
登录
磁盘配额
脱机文件


磁盘配额

打印机删除

用户设置



登录脚本
Internet Explorer 设置
RAS
文件夹重定向
桌面锁住
网络
系统

(环回)
禁用标准用户桌面设置

(环回)
禁用标准用户桌面设置

应用程序设置



Office 2000
待发布的内部应用程序



产生的组策略对象列表

  • 组策略对象
  • 域安全性设置
  • 工作站设置(安全性、部署的应用程序、系统设置)
  • 用户设置(安全性、部署的应用程序、系统设置和应用程序设置)
  • 域控制器设置(安全性、部署的应用程序与系统设置)
  • 服务器设置(安全性、部署的应用程序与系统设置)

确定设置的作用域

本节介绍如何定义表 1 中列出的各策略对象的作用域。

对于各 GPO,考虑这样一个问题:

  • 各目标对象(如计算机、用户或域)的设置对组织中的所有对象是否通用的?或者说,这些对象中不同的分组是否需要应用不同的设置?

如果有的 GPO 对用户/计算机群体中的不同分组应用不同的设置,则 GPO 需分叉。在此阶段,您需要确定哪些设置与群体中的哪一部分对应。

往往出现情况:许多设置对组织中的所有用户/计算机都是通用的,但有很少的一些设置因组而异。在这种情况下,可以为通用设置创建一个 GPO,为各个要求不同设置的组分别设置单独的 GPO。

在定义策略的作用域时,应考虑当用户策略设置应用到计算机而这些设置并不适用时会有什么样的影响。例如,如果一个用户负有管理责任,则设置该用户须登录到服务器控制台安装其应用程序可能是不可取的。为要保护的系统设置一个“环回”策略来补充或覆盖正常的用户设置即可避免这一点。

组策略作用域另一个需考虑的方面是,某一特定的设置组是否需要对所有从属容器强制实施,或者相反,是否需要阻止某些设置的继承。在后面的“管理组策略”一节讨论了这一问题。

表 2 组策略对象更改示例

现有 GPO
作用域
GPO 的影响
域安全性

单位中的所有域

无更改

工作站安全性、应用程序、系统设置

工作站安全设置在某些物理位置会有变化
所有其他的设置对所有工作站通用

工作站安全性—全局,但某些站点有变化。



其他设置—全局。

用户安全性、应用程序、系统设置和应用程序设置

用户安全性因部门而异
系统设置对所有用户通用
应用程序和应用程序设置因部门而异

用户系统设置—全局



安全设置、应用程序和应用程序设置、桌面设置—每部门一个 GPO。

域控制器安全性、应用程序和系统设置

所有域控制器

无更改。

服务器安全性、应用程序和系统设置

安全性与系统设置因服务器类型(文件服务器、应用程序服务器)而异

服务器应用程序—全局。



安全性与系统设置—每服务器类型一个 GPO。

验证 Active Directory 域/OU 设计

本节为域验证/OU 设计提供了一个框架。

在此阶段,您需要确定前面讲述的功能如何部署到您的域/OU 设计中。请考虑下面几个问题:

  • 域设计能否支持组策略的有效使用和管理?
  • 如不能,需做何更改?
  • “Active Directory 网络和委派”要求与“组策略”要求之间有何冲突?

为消除目录结构与 GPO 要求之间的冲突,往往需要用安全组来筛选 GPO。

此阶段工作的目标是产生一个经修订的 GPO 结构(也可能是经修订的 Active Directory 名称空间结构)以及对“GPO 筛选安全组”的定义。具体例子请参见下面的图 1。

GPDOut01

图 1 设计拟议中的公司域 OU 结构

此例中,OU 结构对于所有的三个域是通用的。用户帐户管理在地区和国家级进行。用户设置和应用程序部署由各部门管理。地区 IT 中心和国家级 IT 组管理工作站、服务器和域控制器。

第一个问题是,组策略不能跨域继承,也不能从一个域复制到另一个域。一个域中的 GPO 可以从另一个域中链接,但在此特定的域模型中,这样做会使性能大大降低(因为 GPO 将通过洲际 WAN 链路加载)。

备注 在来自多个域的域控制器可通过带宽相对较高的网络访问的情形中,这可能不是一个太大的问题。不过,域间链接的麻烦可能会特别多,因为策略对象的应用将与其所有权和控制权脱离。通常,只应由对 GPO 设置有控制权的管理员进行到这些 GPO 的链接。否则 GPO 中的设置可能在链接的用户不知道的情况下就更改了(而且 GPO 的所有者也不一定知道这些更改有何影响)。

这一问题的解决办法是在各域中复制 GPO 结构。此时,有必要检查域结构,看拟议中的所有域是否可合并成一个(或者至少合并成较少的几个)以便于 GPO 管理。

第二个困难是,拟议中的 OU 结构可能不能与 GPO 的作用域很好地对应。例如,用户对象 OU 可能按地理位置组织以符合地区管理委派结构,而策略则需要按部门或业务单位来应用。解决办法是,在一个更高的的级别应用组策略对象并使用安全组(与要求的业务单位结构匹配)来筛选这些 GPO。

组策略对象的更改

除了所有 GPO 都必须在各域中复制外,对 GPO 的结构未做更改。

对域/OU 结构的更改包括在现有用户 OU 之上添加一个“用户帐户 OU”—在此应用通用的用户策略。

GPO 筛选安全组

下面的例子列举了两个一般类型的 GPO 筛选安全组:

  • 每部门用户/应用程序 GPO 组
  • 服务器类型 GPO 组

管理组策略

本节列出了管理组策略的一些指导原则。

起管理作用的结构、策略和做法将影响 GPO 模型的最终结构。请仔细考虑这些策略,并注意以下指导原则:

  • 管理结构影响 GPO 结构。例如,尽管安全设置与其他工作站设置有相同的作用域,但控制它们的管理组可能不同。这可能要求对单个 GPO 拆分。
  • 应用到“组策略”对象的访问控制列表 (ACL) 应反映出应由谁来管理这些对象。类似地,所有域和 OU 上的 ACL 应限制谁可以将 GPO 链接到这些容器。
  • 包含必须应用到子 OU 中所有对象的设置的 GPO 可能需要强制实施,以防这些设置被在 OU 层次结构中较低层次应用的 GPO 所覆盖。某些全局安全策略设置通常都要求这样。
  • 在另外一些情况下,本地管理员可能希望将他们的 GPO 设置指定为阻止继承的设置,使较高级别的策略设置不被继承。需要这样做的情况较少—而且由于容易造成混乱—应避免或慎用这一做法。
  • 委派对一个 GPO 中部分设置的控制权这一需要,可能要求拆分 GPO 并让适当的 ACL 应用到各个新的 GPO。
  • 委派对 GPO 设置的控制权和在 OU 上创建/删除组策略链接的能力。
  • 将需要创建“自定义组策略编辑器”控制台。(这可能包括在策略中指定谁可以加载哪些“组策略”管理单元)。

表 3 显示了对一个 GPO 结构的更改示例。

表 3 对组策略对象结构的可能更改

现有 GPO
新的 GPO
域安全性

域安全性

全局工作站安全性和系统设置

全局工作站安全性


全局工作站系统设置

站点工作站安全性

站点工作站安全性

全局用户系统设置

全局用户系统设置

安全设置、应用程序和应用程序设置、桌面设置(每部门)。

全局用户安全设置


部门用户安全性


部门应用程序和应用程序设置

域控制器安全性、应用程序和系统设置

域控制器安全性


域控制器系统和应用程序设置

服务器应用程序

服务器应用程序

安全性与系统设置—每服务器类型一个 GPO

服务器安全性


系统设置



表 4 可能的 GPO 强制实施和管理控制示例

GPO
强制实施/阻止
GPO 管理员
域安全性


安全

全局工作站安全性

强制实施

安全

全局工作站系统设置


桌面工程

站点工作站安全性

强制实施

安全

全局用户系统设置


桌面工程

全局用户安全设置


安全

部门用户安全性


业务单位管理

部门应用程序和应用程序设置


应用程序部署组

域控制器安全性


安全

域控制器系统和应用程序设置


基础结构工程。

服务器应用程序


应用程序部署

服务器安全性


安全

服务器系统设置


基础结构工程

测试和优化组策略

本节概述了正确地测试和优化组策略需要做些什么。

在此阶段,组策略结构需要经过复查和测试,以便它有正确的行为和最佳的性能。应检验的一些内容包括:

  • 如果用户在不断换用计算机,那么组策略的组合在所有不同的排列中是否表现出预期的行为?
  • 如果膝上型电脑不断变换站点,那么站点和域/OU 策略设置的组合是否表现出预期的行为?
  • 应检查并测试组策略设计使之更高效。如果有太多 GPO 应用到一个用户或计算机,则登录或启动时间可能长得难以接受。过多的 GPO 应用到单个用户或计算机可能会使对策略结构的理解变得很困难。
  • 应检查每一个策略,看它是否可以优化。用安全组进行筛选可防止不必要的对 GPO 的客户端处理。应将策略对象中不使用的用户或计算机部分禁用,以使不必要的客户端处理量最小化。
  • 对于频繁更改的较大或较复杂的 GPO,应看一下不断更改的设置部分是否可以移到一个新的 GPO 中。对 GPO 的每次更改都会导致域控制器之间的复制和到客户端的下载。将不断更改的设置部分移到一个单独的 GPO 中可使对网络和对客户端 GPO 处理时间的影响最小。

备注 但这样做又可能会导致 GPO 结构过于复杂,所以须权衡两者之间的利弊得失。

维护组策略

本节介绍随着单位需要改变,如何排除组策略的问题和维护组策略。错误的 GPO 设置会带来大范围的严重的后果。每一个更改都应在实验室中经过测试,然后才能部署到生产环境中。GPO 目前尚不能在域间复制或移动,所以在实验室测试的 GPO 要复制到产生环境中时,需要手动编辑 GPO 设置。

如要添加一个新的 GPO,可将它放在一个测试 OU(在产生域中)中并让一小组用户试用它。

如要更改一个现有 GPO,可在一个测试 OU 中试用所做的更改。首先从测试 OU 创建一个到此现有 GPO 的临时链接,然后在此 OU 中创建一个实现这些更改的新的 GPO(有更高的优先级)。在这些更改的效果经过测试后,可将这些更改放入生产 GPO 中并删除临时链接。

因为对 GPO 的更改会产生巨大的影响,所以一定要有完整的更改管理步骤。每一个拟议中的更改在获准引入生产环境之前,都应经过检查和正确的测试。

有关维护组策略方面的更多信息,请参见 Troublehshooting Group Policy(组策略疑难解答)。

总结

组策略允许您对用户工作环境状态只定义一次,然后靠系统实施所定义的策略。为达到这一状态,您需要首先在规划 Active Directory 域结构的同时仔细地创建、组织和规划 GPO。本文对建议考虑的事项作了一个高度的概括。有关进一步的信息,请参见下面的相关链接。

相关链接

请参见下列资源中的进一步的信息:

有关 Windows 2000 Server 的最新信息,请参见 Microsoft TechNetWindows 2000 Server Web 站点

无法打开组策略的解决办法

  解决方法:将Framedyn.dll文件从/windows/system32/wbem目录下拷贝到/windows/system32目录下,如果还不能运行就运行regsvr32 gpedit.dl...
  • flcandclf
  • flcandclf
  • 2007-07-18 10:38:00
  • 596

<em>组策略</em>实现软件部署的步骤

。在规模比较大的网络环境里面,为了降低我们系统管理逐台给每个客户端去安装、更新软件的劳动量,此时我们就可以利用Active Directory的<em>组策略</em>来进行对公司内部网络...
  • 2018年04月09日 00:00

Android开发必备知识

为方便查找,已进行大致归类,其目录如下所示: 尺寸相关 dp与px转换 dp2px、px2dpsp与px转换 sp2px、px2sp各种单位转换 applyDimension在onCr...
  • Daiwilliam
  • Daiwilliam
  • 2016-12-26 11:06:00
  • 698

售前工程师、售前经理必备知识和技巧

    当一个好的产品研发出来后,如何有效地进行产品包装、产品推广、销售支持和产品运营数据分析,在市场激烈竞争的最前线放大产品的威力克敌致胜;又如何在与客户接触中发现新的市场机会,进行产品规划、产品定...
  • yetfree
  • yetfree
  • 2008-10-18 21:44:00
  • 458

组策略设置大全

如何打开组策略编辑器?  运行里输入gpedit.msc  系统里提示没有打开组策略这条命令?  1:看是不是注册表中锁住了组策略“HKEY_CURRENT_USER/Software/Microso...
  • david_520042
  • david_520042
  • 2009-10-20 17:13:00
  • 1763

组策略设计必备知识概要

引言 在 Windows® 2000 操作系统中,您(系统管理员)使用“组策略”为用户和计算机组定义用户和计算机配置。您通过使用“组策略”Microsoft 管理控制台 (MMC) 管理单元为特定用户...
  • leehaicun
  • leehaicun
  • 2004-08-19 09:49:00
  • 1755

可靠性工程师必备知识手册

  • 2011年11月10日 21:43
  • 15.45MB
  • 下载

spring知识概要

Spring基础 基本上所有的框架都是提取实际开发中大量重复步骤而成 围绕Spring框架,还衍生出了如Spring Web Flow、Spring Security等框架 Spring框架优点 ...
  • zcl_love_wx
  • zcl_love_wx
  • 2016-09-30 17:33:36
  • 967

组策略发布.exe程序

组策略只支持.msi 安装格式的  如果要是安装.exe 的就的靠 .zap 文件帮忙了 .zap 文件格式   [Application] FriendlyName = "金山词霸20...
  • gaoming655
  • gaoming655
  • 2011-02-17 16:08:00
  • 560

使用<em>组策略</em>管理软件分发

<em>组策略</em>高手完全手册入门篇之三:使用<em>组策略</em>管理软件分发... 2011-01-27 上传大小:2.92MB <em>组策略</em>,管理,策略,Win策略,windows策略 <em>组策略</em>高手完全手册入门篇之三:使...
  • 2018年03月28日 00:00
收藏助手
不良信息举报
您举报文章:组策略设计必备知识概要
举报原因:
原因补充:

(最多只允许输入30个字)