以下内容摘自笔者编著的《网管员必读——网络管理》(第2版)一书:
7.1.2 组策略对象
策略设置存储在组策略对象(GPO)中,可以使用组策略对象编辑器来编辑每个GPO的设置。在安装组策略管理控制台(GPMC)后,通常从GPMC中打开组策略对象编辑器,而不是像以前从ADUC或者ADSS中打开。
1.GPO类型
在Windows系统中,共有两种类型的GPO。
1)基于Active Directory的GPO
这些GPO存储在某个域中,并且复制到该域的所有域控制器上。它们仅在Active Directory环境中可用。它们应用于组策略对象所链接的站点、域或部门中的用户和计算机。这是Active Directory环境中使用组策略的主要机制。
可将基于Active Directory的GPO链接到域、站点或部门以应用其设置。
一个GPO可以链接到多个站点、域或组织单位,一个站点、域或组织单位又可以链接多个GPO。在这种情况下,在发生冲突时可使用规则来确定哪个设置优先(有关组策略处理和优先级参见下节介绍),通常是按以下顺序应用设置的:本地→站点→域→部门。
对于多个GPO链接到特定站点、域或部门的情况,您可以指定优先顺序,并由此指定应用这些GPO的优先级。默认情况下,使用最后应用的配置设置。例如,假定在各GPO中将“将‘注销’添加到【开始】菜单”配置如下:本地GPO:已禁用;站点GPO:未配置;域GPO:已禁用;组织单位GPO:为第一个应用的GPO(链接顺序2)启用,但没有为第二个应用的GPO(链接顺序1)配置。
在这种情况下,组织单位中链接顺序2中配置的“已启用”优先级高,所以最终在用户的【开始】菜单上将显示“注销”菜单项。
GPMC新增了对GPO复制、导入、备份和还原的支持,有关这方面的内容将在本章后面具体介绍。
2)本地GPO
每个计算机上只存储一个本地GPO。本地GPO是Active Directory环境中影响力最小的GPO,本地GPO包含的设置仅为基于Active Directory的GPO中找到的设置的一个子集。
运行Windows 2000、Windows XP Professional、Windows XP6 4-Bit Edition或Windows Server 2003操作系统的每台计算机都只有一个本地组策略对象。在这些对象中,组策略设置存储在各个计算机上,无论它们是否属于Active Directory环境或网络环境的一部分。
本地组策略对象包含的设置要少于非本地组策略对象的设置,尤其是在“安全设置”下。本地组策略对象不支持“文件夹重定向”和“组策略软件安装”。
因为它的设置可以被与站点、域和组织单位相关联的组策略对象覆盖,所以在Active Directory环境中本地组策略对象的影响力最小。在非网络环境中(或在没有域控制器的网络环境中),本地组策略对象的设置相当重要,因为此时它们不会被其他组策略对象覆盖。
本地组策略对象驻留在Systemroot\System32\GroupPolicy中。运行Windows NT 4.0或更低版本的计算机没有本地组策略对象,而且它们不能识别非本地的组策略对象。
本地GPO不支持某些扩展,如文件夹重定向或组策略软件安装。本地GPO支持许多安全设置,但是组策略对象编辑器的安全设置扩展不支持本地GPO的远程管理。因此,您若使用命令行:gpedit.msc /gpcomputer:“Computer1”,虽然可以在Computer1上编辑本地GPO,但是“安全设置”选项却不出现。
本地GPO始终会被处理,但它们在Active Directory环境中却是影响最小的GPO,因为基于Active Directory的GPO优先级更高。
2.用户设置和计算机设置
GPO设置可分为“用户配置”和“计算机配置”(如图7-3所示),前者保存在用户登录时应用于用户的设置,后者保存在计算机启动(引导)时应用于计算机的设置。大多数设置只出现在一个部分中,但有些设置在两个部分中都有,如“同步运行登录脚本”。如果设置出现在两个部分中,并且它们不一致,则使用计算机设置。
图7-3 GPO中的“用户配置”和“计算机配置”两部分
“用户配置”和“计算机配置”可进一步细分为可自定义的组策略MMC扩展集。
|
图7-4 更改GPO状态配置的对话框
|
默认情况下,GPO的状态是“已启用”,但是管理员可以*更改设置。
方法是在相应GPO编辑器窗口中的GPO上单击鼠标右键,在弹出菜单中选择【属性】命令,在打开的对话框中选择“常规”选项卡,如图7-4所示。
图7-4 更改GPO状态配置的对话框
在其中可以如果仅选择了“禁用计算机配置设置”复选框,则将禁用GPO上所有的计算机配置策略项设置;如果仅选择了“禁用用户配置设置”复选框,则将禁用GPO上所有的用户配置策略项设置;如果同时选择这两个复选框,则将禁用整个GPO上的策略设置。当客户端计算机处理GPO时,不会评估已禁用的GPO部分。
在更改GPO的状态时,从该GPO获取策略的所有站点、域和部门都会受到影响。因此,禁用GPO比禁用它的一个链接产生的影响要大得多。
|
|
GPO链接上的“强制”(以前称为“禁止替代”)比域或部门上的“阻止继承”的优先级高。如果为GPO链接打开“强制”并关闭“已启用链接”,则不应用该GPO。而“阻止继承”并不会改变直接链接到已启用“阻止继承”的域或部门的GPO的组策略设置。
|
4.GPO的默认权限
GPO也是一个文件,它对各用户和组对象也有默认的访问权限分配。表7-1显示了组策略对象的默认权限。
表7-1 组策略对象的默认权限
|
安 全 组
|
GPMC中显示的默认权限
|
|
Authenticated Users
|
GPO“作用域”选项卡上的“安全筛选”;“委派”选项卡上的“只读(来自安全筛选)”
|
|
SYSTEM
|
编辑设置,删除、修改安全
|
|
Domain Admins
|
编辑设置,删除、修改安全
|
|
Enterprise Admins
|
编辑设置,删除、修改安全
|
|
ENTERPRISE DOMAIN CONTROLLERS
|
读取
|
|
经验之谈
|
在没有Windows Server 2003架构的纯Windows 2000林中,没有给企业域控制器(Enterprise Domain Controllers)组授予GPO的任何权限。
无法删除特殊组策略对象的“默认域策略”和“默认域控制器策略”。这种限制的目的在于防止误删这些组策略对象,它们包含该域的重要的和必要的设置。
|
本文转自王达博客51CTO博客,原文链接http://blog.51cto.com/winda/44488如需转载请自行联系原作者
茶乡浪子