組策略物件
以下內容摘自筆者編著的《網管員必讀——網路管理》(第2版)一書:
7.1.2 組策略物件
策略設定儲存在組策略物件(GPO)中,可以使用組策略物件編輯器來編輯每個GPO的設定。在安裝組策略管理控制檯(GPMC)後,通常從GPMC中開啟組策略物件編輯器,而不是像以前從ADUC或者ADSS中開啟。
1.GPO型別
在Windows系統中,共有兩種型別的GPO。
1)基於Active Directory的GPO
這些GPO儲存在某個域中,並且複製到該域的所有域控制器上。它們僅在Active Directory環境中可用。它們應用於組策略物件所連結的站點、域或部門中的使用者和計算機。這是Active Directory環境中使用組策略的主要機制。
可將基於Active Directory的GPO連結到域、站點或部門以應用其設定。
一個GPO可以連結到多個站點、域或組織單位,一個站點、域或組織單位又可以連結多個GPO。在這種情況下,在發生衝突時可使用規則來確定哪個設定優先(有關組策略處理和優先順序參見下節介紹),通常是按以下順序應用設定的:本地→站點→域→部門。
對於多個GPO連結到特定站點、域或部門的情況,您可以指定優先順序,並由此指定應用這些GPO的優先順序。預設情況下,使用最後應用的配置設定。例如,假定在各GPO中將“將‘登出’新增到【開始】選單”配置如下:本地GPO:已禁用;站點GPO:未配置;域GPO:已禁用;組織單位GPO:為第一個應用的GPO(連結順序2)啟用,但沒有為第二個應用的GPO(連結順序1)配置。
在這種情況下,組織單位中連結順序2中配置的“已啟用”優先順序高,所以最終在使用者的【開始】選單上將顯示“登出”選單項。
GPMC新增了對GPO複製、匯入、備份和還原的支援,有關這方面的內容將在本章後面具體介紹。
2)本地GPO
每個計算機上只儲存一個本地GPO。本地GPO是Active Directory環境中影響力最小的GPO,本地GPO包含的設定僅為基於Active Directory的GPO中找到的設定的一個子集。
執行Windows 2000、Windows XP Professional、Windows XP6 4-Bit Edition或Windows Server 2003作業系統的每臺計算機都只有一個本地組策略物件。在這些物件中,組策略設定儲存在各個計算機上,無論它們是否屬於Active Directory環境或網路環境的一部分。
本地組策略物件包含的設定要少於非本地組策略物件的設定,尤其是在“安全設定”下。本地組策略物件不支援“資料夾重定向”和“組策略軟體安裝”。
因為它的設定可以被與站點、域和組織單位相關聯的組策略物件覆蓋,所以在Active Directory環境中本地組策略物件的影響力最小。在非網路環境中(或在沒有域控制器的網路環境中),本地組策略物件的設定相當重要,因為此時它們不會被其他組策略物件覆蓋。
本地組策略物件駐留在SystemrootSystem32GroupPolicy中。執行Windows NT 4.0或更低版本的計算機沒有本地組策略物件,而且它們不能識別非本地的組策略物件。
本地GPO不支援某些擴充套件,如資料夾重定向或組策略軟體安裝。本地GPO支援許多安全設定,但是組策略物件編輯器的安全設定擴充套件不支援本地GPO的遠端管理。因此,您若使用命令列:gpedit.msc /gpcomputer:“Computer1”,雖然可以在Computer1上編輯本地GPO,但是“安全設定”選項卻不出現。
本地GPO始終會被處理,但它們在Active Directory環境中卻是影響最小的GPO,因為基於Active Directory的GPO優先順序更高。
2.使用者設定和計算機設定
GPO設定可分為“使用者配置”和“計算機配置”(如圖7-3所示),前者儲存在使用者登入時應用於使用者的設定,後者儲存在計算機啟動(引導)時應用於計算機的設定。大多數設定只出現在一個部分中,但有些設定在兩個部分中都有,如“同步執行登入指令碼”。如果設定出現在兩個部分中,並且它們不一致,則使用計算機設定。
圖7-3 GPO中的“使用者配置”和“計算機配置”兩部分
“使用者配置”和“計算機配置”可進一步細分為可自定義的組策略MMC擴充套件集。
|
圖7-4 更改GPO狀態配置的對話方塊
|
3.更改GPO的狀態
預設情況下,GPO的狀態是“已啟用”,但是管理員可以自由更改設定。
方法是在相應GPO編輯器視窗中的GPO上單擊滑鼠右鍵,在彈出選單中選擇【屬性】命令,在開啟的對話方塊中選擇“常規”選項卡,如圖7-4所示。
圖7-4 更改GPO狀態配置的對話方塊
在其中可以如果僅選擇了“禁用計算機配置設定”核取方塊,則將禁用GPO上所有的計算機配置策略項設定;如果僅選擇了“禁用使用者配置設定”核取方塊,則將禁用GPO上所有的使用者配置策略項設定;如果同時選擇這兩個核取方塊,則將禁用整個GPO上的策略設定。當客戶端計算機處理GPO時,不會評估已禁用的GPO部分。
在更改GPO的狀態時,從該GPO獲取策略的所有站點、域和部門都會受到影響。因此,禁用GPO比禁用它的一個連結產生的影響要大得多。
|
|
GPO連結上的“強制”(以前稱為“禁止替代”)比域或部門上的“阻止繼承”的優先順序高。如果為GPO連結開啟“強制”並關閉“已啟用連結”,則不應用該GPO。而“阻止繼承”並不會改變直接連結到已啟用“阻止繼承”的域或部門的GPO的組策略設定。
|
4.GPO的預設許可權
GPO也是一個檔案,它對各使用者和組物件也有預設的訪問許可權分配。表7-1顯示了組策略物件的預設許可權。
表7-1 組策略物件的預設許可權
|
安 全 組
|
GPMC中顯示的預設許可權
|
|
Authenticated Users
|
GPO“作用域”選項卡上的“安全篩選”;“委派”選項卡上的“只讀(來自安全篩選)”
|
|
SYSTEM
|
編輯設定,刪除、修改安全
|
|
Domain Admins
|
編輯設定,刪除、修改安全
|
|
Enterprise Admins
|
編輯設定,刪除、修改安全
|
|
ENTERPRISE DOMAIN CONTROLLERS
|
讀取
|
|
經驗之談
|
在沒有Windows Server 2003架構的純Windows 2000林中,沒有給企業域控制器(Enterprise Domain Controllers)組授予GPO的任何許可權。
無法刪除特殊組策略物件的“預設域策略”和“預設域控制器策略”。這種限制的目的在於防止誤刪這些組策略物件,它們包含該域的重要的和必要的設定。
|
本文轉自王達部落格51CTO部落格,原文連結http://blog.51cto.com/winda/44488如需轉載請自行聯絡原作者
茶鄉浪子
相關文章
- 域組策略與本地組策略
- 組策略管理——軟體限制策略(1)
- 組策略管理——軟體限制策略(5)
- 使用組策略禁用UAC
- PHP物件的引用及物件優化策略PHP物件優化
- 【Storm篇】--Storm分組策略ORM
- Office 365組命名策略 - 概述
- 簡單瞭解組策略
- win10策略組打不開 win10策略組在哪裡詳細教程Win10
- Office 365組命名策略 - 補充
- 產品組合策略(轉載)
- 組策略管理器歷險
- 組策略防病毒續薦
- 資料物件的快取策略物件快取
- 組合模式-統一的處理個別物件與組合物件模式物件
- win10怎麼禁用組策略編輯器_如何關閉win10組策略Win10
- win10怎麼開啟組策略_win10開啟組策略的2個方法Win10
- win10組策略恢復預設的方法_win10如何把組策略還原Win10
- 使用組策略統一管理OC
- 組策略每5分鐘出(轉)
- 從Mixin到物件組合物件
- win10本地組策略編輯器怎樣開啟_win10如何開啟組策略Win10
- 只允許指定使用者或組應用組策略
- Kafka 消費組消費者分配策略Kafka
- 使用組策略進行賬戶安全配置
- WindowsXP組策略應用完全手冊(轉)Windows
- 組策略常用設定詳解 -轉載
- 安全設定Windows組策略 有效阻止駭客Windows
- 三個本地組策略的設定例項
- 物件導向 -- 類的組合物件
- 深入探究JVM之物件建立及分配策略JVM物件
- win10策略組打不開怎麼辦_win10本地策略組打不開如何解決Win10
- 2018 win10怎麼開啟組策略_win10系統如何開啟組策略Win10
- Win10系統電腦開啟組策略的方法,Win10系統如何開啟組策略?Win10
- win10系統如何開啟組策略編輯器,win10電腦組策略開啟方法Win10
- 按照陣列順序給物件重新組合成新物件陣列物件
- win10沒有編輯組策略怎麼辦 win10編輯組策略找不到怎麼辦Win10
- Win10怎麼通過組策略關閉自動更新 策略組關閉win10自動更新Win10