組策略物件

科技探索者發表於2017-11-13
物件

以下內容摘自筆者編著的《網管員必讀——網路管理》(第2版)一書:

7.1.2  組策略物件

策略設定儲存在組策略物件(GPO)中,可以使用組策略物件編輯器來編輯每個GPO的設定。在安裝組策略管理控制檯(GPMC)後,通常從GPMC中開啟組策略物件編輯器,而不是像以前從ADUC或者ADSS中開啟。

1GPO型別

Windows系統中,共有兩種型別的GPO
1)基於Active DirectoryGPO
這些GPO儲存在某個域中並且複製到該域的所有域控制器上。它們僅在Active Directory環境中可用。它們應用於組策略物件所連結的站點、域或部門中的使用者和計算機。這是Active Directory環境中使用組策略的主要機制。
可將基於Active DirectoryGPO連結到域、站點或部門以應用其設定。
一個GPO可以連結到多個站點、域或組織單位,一個站點、域或組織單位又可以連結多個GPO。在這種情況下,在發生衝突時可使用規則來確定哪個設定優先(有關組策略處理和優先順序參見節介紹),通常是按以下順序應用設定的:本地站點部門。
對於多個GPO連結到特定站點、域或部門的情況,您可以指定優先順序,並由此指定應用這些GPO的優先順序。預設情況下,使用最後應用的配置設定。例如,假定在各GPO中將“將‘登出’新增到開始選單”配置如下:本地GPO已禁用;站點GPO未配置;GPO已禁用;組織單位GPO為第一個應用的GPO(連結順序2)啟用,但沒有為第二個應用的GPO(連結順序1)配置。
在這種情況下,組織單位中連結順序2中配置的“已啟用”優先順序高,所以最終在使用者的開始選單上將顯示“登出”選單項。
GPMC新增了對GPO複製、匯入、備份和還原的支援,有關這方面的內容將在本章後面具體介紹。
2)本地GPO
每個計算機上只儲存一個本地GPO。本地GPOActive Directory環境中影響力最小的GPO,本地GPO包含的設定僅為基於Active DirectoryGPO中找到的設定的一個子集。
執行Windows 2000Windows XP ProfessionalWindows XP6 4-Bit EditionWindows Server 2003作業系統的每臺計算機都只有一個本地組策略物件。在這些物件中,組策略設定儲存在各個計算機上,無論它們是否屬於Active Directory環境或網路環境的一部分。
本地組策略物件包含的設定要少於非本地組策略物件的設定,尤其是在“安全設定”下。本地組策略物件不支援“資料夾重定向”和“組策略軟體安裝”。
因為它的設定可以被與站點、域和組織單位相關聯的組策略物件覆蓋,所以在Active Directory環境中本地組策略物件的影響力最小。在非網路環境中(或在沒有域控制器的網路環境中),本地組策略物件的設定相當重要,因為此時它們不會被其他組策略物件覆蓋。
本地組策略物件駐留在SystemrootSystem32GroupPolicy中。執行Windows NT 4.0或更低版本的計算機沒有本地組策略物件,而且它們不能識別非本地的組策略物件。
本地GPO不支援某些擴充套件,如資料夾重定向或組策略軟體安裝。本地GPO支援許多安全設定,但是組策略物件編輯器的安全設定擴充套件不支援本地GPO的遠端管理。因此,您若使用命令列:gpedit.msc /gpcomputer:Computer1,雖然可以在Computer1上編輯本地GPO,但是“安全設定”選項卻不出現。
本地GPO始終會被處理,但它們在Active Directory環境中卻是影響最小的GPO,因為基於Active DirectoryGPO優先順序更高。

2使用者設定和計算機設定

GPO設定可分為“使用者配置”和“計算機配置”(如圖7-3所示),前者儲存在使用者登入時應用於使用者的設定,後者儲存在計算機啟動(引導)時應用於計算機的設定。大多數設定只出現在一個部分中,但有些設定在兩個部分中都有,如“同步執行登入指令碼”。如果設定出現在兩個部分中,並且它們不一致,則使用計算機設定。
7-3  GPO中的“使用者配置”和“計算機配置”兩部分
“使用者配置”和“計算機配置”可進一步細分為可自定義的組策略MMC擴充套件集。

7-4  更改GPO狀態配置的對話方塊

3更改GPO的狀態

預設情況下,GPO的狀態是“已啟用”,但是管理員可以自由更改設定。
方法是在相應GPO編輯器視窗中的GPO上單擊滑鼠右鍵,在彈出選單中選擇屬性命令,在開啟的對話方塊中選擇“常規”選項卡,如圖7-4所示。


7-4  更改GPO狀態配置的對話方塊
在其中可以如果僅選擇了“禁用計算機配置設定”核取方塊,則將禁用GPO上所有的計算機配置策略項設定;如果僅選擇了“禁用使用者配置設定”核取方塊,則將禁用GPO上所有的使用者配置策略項設定;如果同時選擇這兩個核取方塊,則將禁用整個GPO上的策略設定。當客戶端計算機處理GPO時,不會評估已禁用的GPO部分。
在更改GPO的狀態時,從該GPO獲取策略的所有站點、域和部門都會受到影響。因此,禁用GPO比禁用它的一個連結產生的影響要大得多。
GPO連結上的“強制”(以前稱為“禁止替代”)比域或部門上的“阻止繼承”的優先順序高。如果為GPO連結開啟“強制”並關閉“已啟用連結”,則不應用該GPO。而“阻止繼承”並不會改變直接連結到已啟用“阻止繼承”的域或部門的GPO的組策略設定。

4GPO的預設許可權

GPO也是一個檔案,它對各使用者和組物件也有預設的訪問許可權分配。表7-1顯示了組策略物件的預設許可權。
7-1  組策略物件的預設許可權
    
GPMC中顯示的預設許可權
Authenticated Users
GPO“作用域”選項卡上的“安全篩選”;“委派”選項卡上的“只讀(來自安全篩選)”
SYSTEM
編輯設定,刪除、修改安全
Domain Admins
編輯設定,刪除、修改安全
Enterprise Admins
編輯設定,刪除、修改安全
ENTERPRISE DOMAIN CONTROLLERS
讀取
 
經驗之談
在沒有Windows Server 2003架構的純Windows 2000林中,沒有給企業域控制器(Enterprise Domain Controllers)組授予GPO的任何許可權。
法刪除特殊組策略物件的“預設域策略”和“預設域控制器策略”。這種限制的目的在於防止誤刪這些組策略物件,它們包含該域的重要的和必要的設定。

本文轉自王達部落格51CTO部落格,原文連結http://blog.51cto.com/winda/44488如需轉載請自行聯絡原作


茶鄉浪子


相關文章