GPO,即group Policy Object,是Windows 2k的得意之作。把NT需要通过注册表或poledit.exe修改Ntconfig.pol文件才能达到配置策略的目的,通过GPO来实现一个中央集权的组策略。
GPO提供了NT从来没有的功能——对用户计算机集中而详尽地控制。(可以把GPO看成NT系统控制的改进。)
GPO是基于活动目录(AD)的对象,用户可以通过AD对GPO集中控制。
组策略是什么?
GPO是一种与域、地址或组织单元相联系的物理策略。通过组策略,可以指定系统注册表的设置、adm模版文件运行的Windows 2k本地计算机、域的安全设置和使用Widnows安装程序的网络软件安装。
微软管理控制台(MMC)中的组策略编辑器(GPE)与NT4中系统策略编辑器poledit.exe相当。GPE中的每个功能节点都是MMC插件扩展,可以通过开发MMC插件扩展,拓展GPO的功能。
只有windows 2k或更高的系统可以执行组策略,NT4和Windows 9x客户机无法识别或运行具有AD构架的GPO。
组策略和AD
要充分发挥GPO的功能,需要有AD域构架的支持。利用AD可以定义一个集中的策略,所有Windows 2k服务器和工作站都要采用它。
Windows 2k计算机都有一个本地GPO,可以为每台工作站设置一个组策略,它在AD域中不起作用。
本地GPO支持除软件安装和文件夹重定向之外的所有默认扩展。如果想完成GPO的全部功能,还需要AD支持。
访问本地GPO,2种方法:
1、开始-》运行-》gpedit.msc
2、MMC控制台,选择GPE插件
GPO的多样性和继承性
在AD中,可以在域、组织单元(OU)或地址3个不同的层次上定义GPO。只有用户和计算机可以使用GPO,打印机对象甚至用户组,都不能应用GPO。
在一个域或组织单位(OU)中编辑策略的途径:
1、在活动目录用户或计算机插件中,右击一个域或组织单位(OU),选择属性,然后选择组策略标签。在编辑地址中的GPO时,需要右击“活动目录地址和服务”,然后右击需要的地址得到其GPO。
2、开始-》运行-》mmc-》添加/删除组件-》组策略
根据GPO在AD名字空间中的不同位置,可以有几个GPO对用户对象或计算机对象起作用。只有域中的其他对象时通过继承产生时,GPO才是通过继承生成的。windows 2k通过下面的方式之心GPO。
首先,执行现有的本地策略上的GPO,然后Windows执行地址一级的GPO、域一级的GPO和基于OU的GPO,微软把这一优先顺序称为LSDOU(执行的顺序是本地、地址、域、组织单位OU),用户可以在这个链上许多层次设置GPO。
除本地系统外,可以在每个层次上定义几个GPO。
GPO的执行和过滤
只有用户和计算机对象才能执行组策略。在计算机的启动和关机时,Windows 2k执行在GPO的计算机配置部分定义的策略;在用户登录和注销时,Widnows 2k执行在GPO中用户配置部分定义的策略。
用户和计算机的GPO默认情况下,每90分钟刷新一次,软件策略时不会刷新的。
Widnows 2k中的安全组、应用组策略时一项新特性,可以使特定的用户组不能执行某个一个GPO。
GPO的内部构成
一个GPO是由组策略容器(GPC)和组策略模版(GPT)两部分组成的。
GPO带来的难题
最难掌握的就是如何判断一条有效的策略如何对域中的计算机或用户起作用。由于GPO可以存在于AD链中的不同层次上,因此判断就会特别困难。由于可以指派一个GPO的控制,因此不太容易清楚其他的GPO是否会对没有控制权的容器中的GPO有影响
另一个难题是策略的执行。如果AD链上的许多层都存在GPO,则用户登录或系统启动时都会执行所有的GPO。首先,GPO的版本信息依赖于工作站和GPO,如果GPO没有变化,系统就不会执行它。另外,在GPE的属性页上,可以禁用用户或计算机对GPO的执行。
最后一个难题源于GPC和GPT时两个单独的实体。在创建一个GPO时,GPT开始向域控制器上的Sysvol复制文件之前,GPC可能已经开始进行复制了。
所有这些问题都是由于AD使用了一个多主体复制模式。理论上,当一个Admin在一个域控制器上编辑一个GPO时,也可以在某个域上对它进行编辑。一般情况下,可以通过只向少数系统管理员授予编辑GPO的权利来避免这种情况的发生,在对一个GPO编辑时,要先“禁止”它,修改后再启用它。
GPO的有点时可以让用户灵活地控制Windows 2000环境,但随之而来的是复杂性。如果能够正确、灵活地运用GPO,就能使Windows 2k发挥更强大的功能。
1454
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
