7.2.7 通过组策略集中控制和管理Windows网络组策略(Group Policy)是基于Active Directory的一种系统管理技术,用来定义自动应用到网络中特定用户和计算机的默认设置,这些设置包括安全选项、软件安装、脚本文件设置、桌面外观和用户文件管理等。在基于Active Directory的Windows网络中,可通过组策略来实现用户和计算机的集中配置和管理。例如,管理员可为特定的域用户或计算机设置统一的安全策略;可在域中的每台计算机上自动安装某个软件,可为某个组织单位中的用户账户设置统一界面。
1.理解组策略组策略设置存储在域控制器中,只能在Active Directory环境下使用,适用于组策略对象所作用的站点、域或组织单位中的用户和计算机。与AD组策略相对应的是本地组策略。本地组策略设置存储在所有运行Windows 2000/XP/2003的计算机上。一个本地组策略对象只能存在于一台计算机上,只能作用于该计算机及本地用户。如果与AD组策略的设置发生冲突,Active Directory组策略对象的设置将覆盖本地组策略对象的设置。如果不冲突,则两者都可以应用。
可以站点、域或组织单位为作用范围来定义不同层次的组策略对象,一旦定义了组策略对象,则该对象包含的规则将应用到相应作用范围的用户和计算机的设置。组策略对象的作用范围是由组策略对象链接(GPO Link)来设置的。任何组策略对象要想生效,必须链接到某个Active Directory对象(站点、域或组织单位)。
组策略既可以应用于用户,也可以应用于计算机。用户和计算机是接收策略的惟一Active Directory对象类型。组策略可提供针对用户和计算机的配置,相应地称为用户策略和计算机策略。对于用户配置来说,无论用户登录到哪台计算机,组策略中的用户配置设置都将应用于相应的用户。用户在登录计算机时获得用户策略。对于计算机配置来说,无论哪个用户登录到计算机,组策略中的计算机配置设置都将应用于相应的计算机。计算机启动时获得计算机策略。组策略不适用于Windows 9x/NT计算机,也不会影响未加入域的计算机和用户。
在Windows 2000/XP/2003域成员计算机中,组策略的执行顺序为:本地组策略对象→Active Directory站点→Active Directory域→Active Directory组织单位。在Active Directory层次结构的每一级组织单位中,可以链接一个、多个或不链接组策略对象。如果一个组织单位链接了多个组策略,则按照管理员指定的顺序同步处理。这意味着首先处理本地组策略对象,最后处理链接到计算机或用户直接上属组织单位的组策略对象,覆盖以前的组策略对象。
组策略可以继承。子容器继承父容器组策略,并且组策略的处理按站点、域和组织单位的顺序进行。这意味着如果将特定组策略分配给一个高级父容器,那么这个组策略将应用于该父容器下的所有容器,包括每个容器中的用户和计算机对象。但是,如果明确将组策略指定给一个子容器,那么子容器的组策略将替代父容器的组策略。
2.配置组策略对象
可以使用“Active Directory用户和计算机”或“Active Directory站点和服务”控制台来配置组策略,前者适合域或组织单位的组策略设置,后者适合站点的组策略设置。也可使用组策略对象编辑器MMC管理单元来配置组策略对象,这种方法适合编辑特定的组策略对象。这里以常用的“Active Directory用户和计算机”控制台为例讲解如何配置组策略对象。
编辑组策略对象
① 在“Active Directory用户和计算机”控制台树中,右键单击要设置组策略的域或组织单位(这里以域为例),从快捷菜单中选择【属性】命令,打开属性设置对话框。
② 切换到如图7.23所示的【组策略】选项卡,在组策略对象链接列表中已有一个默认的组策略对象。选中该对象,单击【编辑】按钮,打开要编辑的组策略对象。
③ 如图7.24所示,每个组策略对象包括计算机配置和用户配置两个部分,分别对应所谓的计算机策略和用户策略。设置相应的选项。例中设置账户策略。
提示:无论是计算机配置,还是用户配置,通常包括软件设置、Windows设置和管理模板这3个子项(由于组策略可向它添加或删除管理单元扩展组件,因此子项的确切数目可能不同)。其中位于【计算机配置】>【Windows设置】节点下面的【安全设置】节点是经常要设置的选项,它允许管理员手动配置指派到组策略对象的安全级别,设置系统安全性。
④ 设置相应的组策略对象后,返回到【组策略】选项卡,再单击【确定】按钮。
 |
| 图7.23 【组策略】选项卡 |
 |
| 图7.24 编辑组策略 |
新建和编辑组策略对象后,还要添加组策略对象链接,即将当前容器(域或组织单位)链接到已有的组策略对象。在【组策略】选项卡中单击【添加】按钮打开如图7.25所示的对话框,从现存于站点、域或组织单位的组策略对象中选择。
 |
| 图7.25 添加组策略对象链接 |
3.应用组策略
在计算机启动和用户登录时,组策略中的计算机策略和用户策略按下列顺序应用到计算机和用户。
(1)网络启动。
(2)获得组策略对象的有序列表。该列表可能取决于下列因素:
该计算机是否为域成员,并且是否因此通过Active Directory受组策略的控制;
计算机在Active Directory中的位置;
如果组策略对象列表没有更改,则不进行处理,可以使用策略设置更改该行为。
(3)计算机策略已得到应用。这些都是收集的列表中“计算机配置”下的设置。默认情况下这些操作将同步进行,顺序为本地、站点、域、组织单位、子组织单位等。处理计算机策略时不显示用户界面。
(4)启动脚本开始运行。在默认情况下这是隐藏的而且是同步进行的。每个脚本在下一个脚本开始执行之前要么必须完成,要么做超时处理。默认超时时间为600秒。用户可以使用多种策略设置更改该行为。
(5)用户按〖Ctrl〗+〖Alt〗+〖Del〗键登录。
(6)用户验证身份之后,将加载由当前生效的策略设置控制的用户配置文件。
(7)用户可获得组策略对象的有序列表。该列表可能取决于下列因素:
用户是否为域用户,而且是否因此通过Active Directory受组策略的控制;
用户在Active Directory中的位置;
如果要应用的组策略对象的列表没有更改,则不进行处理,可以使用策略设置更改该行为。
(8)用户策略已被应用。这些都是收集的列表中“用户配置”下的设置。默认情况下这些操作将同步进行,顺序为本地、站点、域、组织单位、子组织单位等。处理用户策略时不显示用户界面。
(9)登录脚本开始运行。与Windows NT 4.0脚本不同,基于组策略的登录脚本在默认情况下是隐藏并且异步运行的。用户对象脚本(在Windows NT 4.0中以正常窗口运行)最后运行。
(10)显示由组策略预定义的操作系统用户界面。
限于篇幅,这里再举一个使用“管理模板”组策略的简单例子。要禁止域中所有用户在IE浏览器中更改主页设置。打开组策略编辑器,依次展开【计算机配置】>【管理模板】>【系统】>【Windows组件】>【Internet Explorer】节点(如图7.26所示,),双击“禁用更改主页设置”图标,打开如图7.27所示的对话框。选中【已启用】选项以启用该策略,然后单击【确定】按钮。
 |
| 图7.26 展开组策略节点 |
 |
| 图7.27 启用“禁用更改主页设置”策略 |
【责任编辑:
雪花 TEL:(010)68476606-8007】
