7、实现组策略

第7章实现组策略组策略为管理员提供了对网络中的用户和计算机的管理控制能力。通过使用组策略，可以定义用户初始的工作环境状态，然后可以通过Microsoft®Windows®2000来不断改进已定义的组策略设置。可以将组策略应用于整个网络，或者只将其应用于指定的用户组和计算机组。用户的误操作往往会降低工作效率。通过使用组策略，可以降低用户环境的复杂性，同时可以减少用户错误配置环境的可能性，从而提高工作效率。此外，使用组策略将减少网络系统技术支持的工作量。学习完本章后，您将能够：z了解基于Windows2000的网络中的组策略结构z了解由ActiveDirectory所提供的创建、联系和管理组策略对象(GPO)的选项z描述组策略在ActiveDirectory®目录服务中的应用方法z修改组策略的继承z解决组策略中的问题7.1组策略结构组策略结构使得管理用户和计算机的工作变得更加灵活。可以利用组策略对象（GPO）中所包含的详细设置来控制指定的用户和计算机，并可以将GPO与指定的ActiveDirectory对象（包括站点、域和组织单位）联系起来。7.1.1组策略介绍可以用组策略来配置初始的设置，而且可以定期地重用这些设置。可以将组策略设置和ActiveDirectory对象（包括站点、域和组织单位）关联起来使用。当关联建立之后，组策略会影响在这些容器中的所有用户和计算机。例如，通过使用组策略，可以指定用户能够运行的程序以及出现在用户桌面和“开始”菜单中的快捷方式。通过使用组策略，能够完成以下工作：z在站点级或域级上，将用于整个企业的策略集中起来；或者在组织单位（OU）级上，将应用于每个部门的策略分散开来z确保用户在能满足工作需要的用户环境中工作，保证他们可以：z在注册表中拥有必要的应用程序和系统配置设置，并在系统中拥有用于修改计算机和第7章实现组策略137用户环境的脚本z自动安装软件z拥有本地计算机、域和网络的安全设置z控制用户数据文件夹的存储位置z控制用户和计算机的环境，从而可以降低用户所需的技术支持级别，并使由用户失误造成工作效率降低的情况大大减少。例如，通过使用组策略，能够防止用户随意更改系统配置；还能防止用户安装不必要的应用程序z实施公司策略，包括商业规范、目标和安全要求。例如，确保所有用户的安全配置都符合公司的安全要求，或者所有用户都已经安装了一组特定的应用程序集合要为一组特定的用户创建指定的桌面配置，可以创建组策略对象(GPO)，即组策略设置的集合。每个MicrosoftWindows2000计算机都有一个本地GPO，它可以服从于任何非本地（基于ActiveDirectory）的GPO。注意　组策略只应用于基于MicrosoftWindows2000和MicrosoftWindowsXPProfessional的系统，并不适用于早期版本的Windows操作系统。7.1.2组策略对象组策略是通过GPO来实现的。将GPO中所包含的组策略设置应用到用户和计算机对象即可。可以将GPO与站点、域或者组织单位联合起来使用。GPO的内容存储在如下的两个不同位置上。（1）组策略容器组策略容器是一个ActiveDirectory对象，其中包含GPO的属性及版本信息。由于组策略容器是位于ActiveDirectory中的，因此计算机可以通过访问它来定位组策略模板，域控制器也可以通过访问它来获得其版本信息。域控制器通过版本信息来验证它本身是否具有昀新的GPO版本。如果域控制器的GPO版本不是昀新的，它就从拥有昀新GPO版本的域控制器上复制版本信息。注意　为了查看组策略容器，可以启用“ActiveDirectory用户和计算机”中的“高级功能”，然后依次展开域、系统容器和组策略容器。（2）组策略模板（GPT）组策略模板是域控制器上SYSVOL文件夹中的一个目录层次结构。SYSVOL文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个GPO时，Windows2000会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重定向等设置。计算机可以通过连接SYSVOL文件夹来获得这些信息。组策略模板文件夹的名称是GPO的全局惟一标识符(GUID)。GUID是惟一的，它用来在组Windows2000网络环境管理138策略容器中识别一个GPO。域控制器上存储组策略模板的路径是systemroot\SYSVOL\Sysvol。正如前面提到的，GPO有两种类型（本地和非本地）：对于每台运行Windows2000的计算机，无论该计算机是否连接在网络上，或者是否是ActiveDirectory环境的一部分，它都存储着一个本地GPO。然而，若计算机是ActiveDirectory网络中的一部分，那么非本地GPO就能覆盖本地GPO，从而将本地GPO对系统的影响降到昀小。在非网络环境中（或者在没有Windows2000域控制器的网络环境中），由于本地GPO的设置并没有被非本地GPO覆盖，所以仍然可以发挥作用。非本地GPO是与ActiveDirectory对象（例如站点、域或组织单位）联系起来使用的。非本地GPO也可以应用于用户或计算机。如果要使用非本地GPO，那么必须在网络中安装一台Windows2000域控制器。根据ActiveDirectory服务的属性，系统会分层次地应用非本地GPO中的策略，从限制昀少的组（计算机所在的站点）到限制昀严格的组（计算机所在的组织单位），并且这些策略的应用是累计的。如果没有特别说明，本书中所指的都是非本地GPO。7.1.3使用组策略管理单元为了创建、修改和管理组策略对象，可以使用“Microsoft管理控制台”(MMC)管理单元，如图7-1所示。组策略既可以作为一个独立管理单元，也可以作为一个扩展管理单元，这就意味着能够以多种方式来访问它。到底应用哪种管理单元，将依赖于将要执行的操作以及将要应用组策略的对象类型。图7-1组策略管理单元打开组策略管理单元的方法主要有两种（下面章节中将作详细介绍）。可以创建一个新的MMC控制台，然后将组策略作为独立管理单元，同时指定准备访问其策略的对象或计算机。也第7章实现组策略139可以在一个ActiveDirectory管理控制台中选择对象，然后把组策略作为扩展管理单元来访问。组策略管理单元的个别项目（例如“管理模板”、“安全设置”等）本身就是MMC管理单元的扩展，而且这些管理单元扩展本身还可以继续扩展。例如“安全设置”管理单元，它本身就包括了若干个管理单元扩展。在默认情况下，组策略管理单元启动时，将加载所有可用的组策略管理单元扩展。通过创建自定义的控制台以及使用“管理模板”文件夹中的策略设置（目的是控制MMC自己的行为），可以修改该默认操作。这个扩展模式的优点是，软件开发人员可以在组策略管理单元中创建属于自己的MMC扩展，从而为他们的产品提供特有的附加策略。组策略管理单元的根节点显示为GPO名称及其所属的域，格式如下：GPO名称[域名]策略例如：DefaultDomainControllersPolicy[server1.microsoft.com]策略（1）打开本地组策略管理单元本地组策略是存储在每台运行Windows2000的计算机上的。为了管理本地组策略，可以按照以下步骤来打开组策略管理单元：1)在“开始”菜单上，打开“运行”对话框，在“打开”框中输入mmc，然后单击“确定”，启动MMC。2)在“控制台”菜单中，选中“添加/删除管理单元”，将会弹出“添加/删除管理单元”对话框，如图7-2所示。图7-2添加/删除管理单元对话框Windows2000网络环境管理1403)在“独立”选项卡上，单击“添加”，将会弹出“添加独立管理单元”对话框，如图7-3所示。图7-3“添加独立管理单元”对话框4)向下滚动“可用的独立管理单元”列表，选中“组策略”，然后单击“添加”，将会弹出“选择组策略对象”对话框，如图7-4所示。图7-4“选择组策略对象”对话框5)确保“本地计算机”出现在“组策略对象”框中，然后单击“完成”。6)单击“关闭”，关闭“添加独立管理单元”对话框。7)单击“确定”，关闭“添加/删除管理单元”对话框。这样，“‘本地计算机’策略”文第7章实现组策略141件夹就出现在了MMC控制台树中。（2）打开其他计算机的组策略管理单元只要拥有对网络中另外一台计算机的管理权限，就可以打开它的本地GPO。具体操作步骤如下：1)在“开始”菜单上，打开“运行”对话框，并输入“mmc”，然后单击“确定”，启动MMC。2)在“控制台”菜单上，选中“添加/删除管理单元”，将会弹出“添加/删除管理单元”对话框。3)在“独立”选项卡上，单击“添加”，将会弹出“添加独立管理单元”对话框。4)向下滚动“可用的独立管理单元”列表，选中“组策略”，然后单击“添加”，将会弹出“选择组策略对象”对话框。5)单击“浏览”，将会弹出“浏览组策略对象”对话框，如图7-5所示。图7-5浏览组策略对象对话框6)单击“计算机”选项卡，然后选中“另一台计算机”。7)输入希望访问的计算机名称，或者单击“浏览”从而弹出“选择计算机”对话框。8)单击“确定”，关闭“浏览组策略对象”对话框。9)单击“完成”，关闭“选择组策略对象”对话框。10)单击“关闭”，关闭“添加独立管理单元”对话框。11)单击“确定”，关闭“添加/删除管理单元”对话框。此时，选中的计算机的策略文件夹将出现在MMC控制台树中。可以用“浏览组策略对象”对话框来选择网络中的任何域、组织单位、站点或计算机的GPO。按照这种方式配置MMC管理单元之后，就可以创建一个自定义控制台了，其中包含了网络中任何或所有GPO。（3）在“ActiveDirectory用户和计算机”中打开组策略管理单元除了与指定计算机相联系的GPO之外，还可以为ActiveDirectory对象（例如域、组织Windows2000网络环境管理142单位和站点）创建新的组策略。为了用“ActiveDirectory用户和计算机”控制台来访问组策略管理单元，可执行以下步骤：1)在“管理工具”菜单上，打开“ActiveDirectory用户和计算机”控制台。2)在控制台树中，右击希望进行组策略设置的域或组织单位，然后在弹出的菜单中选中“属性”，将会弹出“属性”对话框。3)单击“组策略”选项卡，并在“组策略对象链接”列表中选中一个已有的GPO，然后单击“编辑”，启动选中的域或组织单位的组策略管理单元（也可以单击“新建”来创建一个新的GPO，然后单击“编辑”）。（4）从“AD站点和服务”中打开组策略管理单元为了打开ActiveDirectory站点对象的GPO，可以执行以下步骤：1)从“管理工具”程序组中，打开“AD站点和服务”控制台。2)在控制台树中，右击希望进行组策略设置的站点，然后在弹出的菜单中选中“属性”，将会弹出“属性”对话框。3)单击“组策略”选项卡，并在“组策略对象链接”列表中选中一个已有的GPO，然后单击“编辑”，启动选中站点的组策略管理单元（也可以单击“新建”来创建一个新的GPO，然后单击“编辑”）。7.1.4组策略设置的类型通过编辑GPO可以对组策略设置进行配置，从而对那些影响用户和计算机的策略进行定义。可以进行配置的组策略设置，有以下类型：z管理模板它是指用于配置应用程序以及用户桌面环境的基于注册表的设置。这些设置包括用户能够访问的操作系统组件和应用程序，还包括用户对“控制面板”选项的访问级别以及对用户脱机文件的控制级别z安全设置它是指用于配置本地计算机、域和网络安全性的设置。这些设置包括对用户访问网络的控制、对帐户和审核策略的设置以及对用户权限的控制。例如，控制用户帐户失败登录尝试的最大次数，超过该最大次数后将锁定该帐户z软件安装它是指用于将管理软件的安装、更新和删除操作集中起来的设置。这些设置可以使应用程序在客户端计算机自动进行安装、更新或删除，还可以使应用程序出现在“控制