“组策略”其实与“组”并没有关系,它是一组策略的集合。组策略加强了管理员通过活动目录数据库在站点、域、或组织单位中配置用户和计算机的能力,在Windows Server 2003 中,通过应用组策略,管理员可以很方便地管理Active Directory 中的计算机和用户的工作环境,例如,用户桌面环境、计算机启动/关机与用户登陆/注销时所执行的脚本文件、软件安装、安全设置等。
 
通过组策略可以实现:
对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境;降低布置用户和计算机环境的总费用,因为只需要设置一次,相应的用户或计算机即可全部使用规定的设置,减少用户不正确配置环境的可能性;推行公司使用计算机规范,包括桌面环境规范以及安全策略等内容。
 
组策略的结构:
组策略的具体设置数据保存在GPO(Group Policy Objec,组策略对象)中,被视为Active Directory中的一种特殊形象,可以将GPO和活动目录的容器(站点、域和OU)连接起来,以影响容器中的计算机和用户。组策略是通过使用组策略对象来进行管理的。
 
 一 默认GPO:
  当Windows Server 2003 域刚建好时,默认有2个GPO 。一个是Default Domain Policy(默认域策略),另一个是Default Domain Controller Policy(默认域控制器策略)。默认域策略影响域中所有的计算机和用户。默认域控制器策略影响组织单位Domain Controllers 中的所有计算机和用户。
 
  二 SDOU(Site、Domain、Organizationl Unit)
 GPO 用来保存组策略,必须进一步指定GPO 所链接的对象,才能将组策略应用到指定的对象。GPO只能链接至Active Directory 的站点、域或组织单位。站点、域与组织单位,统称为SDOU ,即为活动目录的容器,容器中包含的用户和计算机这两种活动目录对象,受组策略的控制。
 
 域和组织单位前面介绍过,下面介绍站点的概念。
 活动目录中的站点是从物理上抽象的概念,站点由一个或几个通过高速连接在一起的 IP 子网组成。
 站点和域有什么关系呢?站点是物理结构,域是逻辑结构。活动目录的物理结构和逻辑结构是彼此独立的。
 ⒈一个站点中可以有多个域。例如:一个局域网办公网络可以看成一个站点,在这个站点中可以创建多个域。
 ⒉一个域中可以有多个站点。例如:一个公司在北京和上海都有办公网络。北京和上海的局域网可以看成2个站点,而这两个站点中的计算机可以在一个域。
 
   创建站点的2个基本原因:
 ⒈优化复制。
 ⒉使用户能够使用可靠、高速的连接登录到域控制器上。
 
 三 GPO(组策略容器)与GPT(则策略模板):
   GPO的组件存储在2个位置:GPC和GPT。
 ⒈GPC:GPC 是包含 GPO 属性和版本信息的活动目录。例如:单击“属性”,即可看到默认域策略的版本信息/。
 ⒉GPT:GPT 在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构。当创建一个 GPO 时,就相应地创建 GPT 文件夹的层次结构。GPT包含所有的组策略设置和信息,如管理模板、安全性、软件安装、脚本等。GPT 文件夹的名称是创建的GPO的全局唯一标识(GUID)。GPT默认路径在域控制器的%systemroot%\SYSVOL\sysvol 中。