Windows Server Group Policy的基本概念

Windows Server Group Policy的基本概念

在掌握Group Policy之前,先介绍一些重要的概念、术语和规则。在解释 Group Policy 功能过程中,将会提及若干设置,但是并不实际示范如何在Group Policy 管理单元中打开这些设置,现在只是关注基本概念。我们将全面地介绍一下GPMC,然后再讨论 Group Policy应用程序(包括诸如 Enforce和Block Inheritance的设置)以及扩展设置。
 

Group Policy的基本概念


管理员通过构建组策略对象(Group Policy object,GPO)配置和部署 Group Policy。GPO是 设置(策略设置)组的容器,可以应用给 Active Directory 网络中的用户和计算机账户。策略对象通过 Group Policy Management Editor(GPME)创建,通过在GPMC中编辑GPO而调用GMPE。 同一个GPO可以指定一组在所有用户桌面上安装的应用程序,实现磁盘配额及 Explorer shell限制的独裁策略,并且定义域范围的密码和账户锁定策略。另外还有可能创建一个全面的GPO或者若干不同的GPO(每种功能一个GPO)。

GPME中有两个主要节点:Computer Configuration和User Configuration。计算机配置策略 管理与机器相关的设置,如磁盘配额、安全审核以及Event Log 管理;用户配置策略应用与用户相关的设置,如应用程序配置、Start菜单管理以及文件夹重定向。但是,这两个节点之间有大量的重叠,特别是现在引入了Group Policy 首选项(本章后面将详细地讨论 Group Policy 首选项),同一个策略同时位于User Configuration和Computer Configuration 两个节点中也很寻常。 在搜寻希望激活的策略时要做好思考的准备,决定是使用基于用户的策略,还是使用计算机策略。请记住,可以创建同时使用两种类型设置的策略,或者为控制User Configuration和ComputerConfiguration 设置分别创建单独的GPO。

与名称相反,Group Policy 对象根本就不面向组,将它们称之为GPO的原因或许是因为一大串不同的配置管理设置编组到一个位置。无论如何,GPO不能直接应用给组,只能应用给指定林中的站点、域和OU(微软公司将这些统称为SDOU)。将GPO分配给站点、域或OU的行为称为链接。GPO还存在于运行 Windows 2000、Windows XP、Windows Vista、Windows Server 2003和Windows Server 2008的计算机中,一会儿大家就会看到。GPO和SDOU的关系可以是多对一(如多个GPO链接到一个OU)或者一对多(如一个GPO链接到若干不同的OU)。GPO—旦链接到 SDOU,用户策略就会影响OU(以及子 OU)中的用户账户,而计算机策略就会影响OU(以及子OU)中的计算机账户。两种类型的策略设置按照给定的刷新频率定期应用,刷新频率一般为90分钟。

当我们说GPO存储在AD中时,这其实并不正确。GPO分为两部分存储:组策略容器(GroupPolicy container,GPC)和组策略模板(Group Policy template,GPT),GPT是SYSVOL中的一个文 件夹结构。容器部分存储在Active Directory中,包含属性信息、版本信息、状态和组件列表。文件夹结构路径是 Windows\SYSVOL\sysvol\<Domainname>\Policies\GUID\,其中GUID是GPO 的全局唯一标识符,这个文件夹包含管理模板(Windows 2000和2003域的ADM文件)、安全设置、可用的应用程序的信息、注册表设置、脚本等。

GPO植根于域的Active Directory中,因此无法直接将它们复制到其他域或林中,但是可以跨域边界链接GPO(尽管并不推荐采用这种方式)。Windows Server 2003和Windows Server 2008支持一些跨林的功能。例如,一个位于林A中的用户可以登录一台位于林B中的计算机,而且仍然拥有来自林A中的组策略。另外,Group Policy 设置现在还可以包含到其他林中服务器的引用。

不仅是注册表:组策略并不仅是注册表更改,所有的策略设置都是使用客户端扩展(client—side extension,CSE)DLL 应用的,从而使策略设置广泛而深入地延伸到操作系统中。相关示例包括控制磁盘配额、文件夹重定向以及软件安装。实际上,有一个CSEDLL用来处理注册表更改,这个DLL就是Userenv.dll。
 

策略“要么全部要么全无”


一、策略“要么全部要么全无”


每个GPO包含许多功能的众多可能设置,通常每个GPO仅配置小部分设置,其他设置都保留为“非活动的”,类似于在脚本的命令前面添加REM(用于注释),或者在INF文件代码行的前面使用分号一样。一旦配置好策略设置,并告诉AD:“这个GPO链接到Bigfirm.com域”,那么某些单独的设置或者某种类型的设置就不能有选择地应用。所有的User Configuration 设置都将应用到登录到位于链接的域中的 Windows 2000、XP、Vista、2003和2008系统上的所有用户账户;所有的Computer Configuration 设置都将应用到域中的所有Windows 2000、XP、Vista、 2003和2008机器(记住,User Configuration和Computer Configuration 设置都不会应用到NT4 或9x客户端)。

现在,假设已经创建了一个GPO,该GPO部署一组标准的桌面应用程序(如Word、Excel和Outlook),而且添加一连串shell限制,防止用户更改配置。如果不希望IT支持小组的用户受这些可笑严厉的shell 限制约束(尽管这些用户可能最需要这些限制了),那么可以采取两种方法:一种方法是为这些策略设置创建一个单独的GPO,并将这个GPO链接到一个包含所有常规用户的OU,但是这个OU唯一获取 Office 应用程序的OU;另外一种方法是为GPO 设置权限,阻止将这个策略应用给IT支持小组(这称为筛选)。但是,如果使用筛选解决这种问题,那么GPO中的任何设置都不会应用到IT支持小组。

Group Policy 应用程序要么全部要么全无,因此有时候确实需要为单独的功能指定单独的策略。解决这个问题的最好方法可能是为标准软件部署创建一个GPO,为shell限制创建一个GPO。两个GPO 都要在域级别应用,但是对于IT支持小组可以筛选 shell 限制。然而,问题是不可能创建一个单一的策略,然后指定哪些用户可以获得哪些设置,而且我们也不希望采用这种方式,起码不希望对这种方式的各种问题进行疑难解答。

这种“要么全部要么全无”概念的唯一例外是随Windows Server 2008和 Vista SP1交付的新的 Group Policy 首选项。所有的 Group Policy 首选都提供了项目级别的目标,针对的是策略设置级别。本章后面将详细地讨论这些设置以及它们的配置。
 

二、策略是可继承和累积的


Group Policy 设置是可累积的,可以从父Active Directory容器继承。例如,Bigfirm.com域 拥有若干不同的GPO,其中有一个GPO链接到这个域,用来设置密码限制、账户锁定和标准安全设置。域中的每个OU也都链接一个GPO,用来部署和维护标准应用程序以及文件夹重定向设置和桌面限制。位于OU中的用户账户和计算机账户既从链接到域的GPO接收设置,又从链接到特定OU的GPO接收设置。因此可以向整个域应用公共策略设置,然后再根据所链接的OU向账户应用其他策略设置。
 

三、组策略刷新间隔


策略每隔90分钟在后台应用一次,而且有高达30分钟的“随机”时间,从而保证域中的数百台甚至数千台计算机能够同时访问域控制器。DC每隔5分钟刷新一次组策略,但是,有一个策略可以配置这些设置,本章后面再详细介绍。刷新间隔应用策略设置的例外情况包括文件夹重定向、软件安装、脚本应用程序、Group Policy 首选打印机以及 Group Policy 首选驱动器映射。这些设置仅在登录(对于用户账户)或系统启动(对于计算机账户)时应用,否则,当其他人正在使用应用程序时,有可能出现准备卸载应用程序的情形,或者用户工作的文件夹可能正被重定向到一个新的网络位置。实际上,出于数据整体性考虑,这些策略设置仅在 GroupPolicy的“前台”刷新中应用。

为您推荐

留言与评论(共有 条评论)
   
验证码:
联系我们

联系我们

0000-888888

在线咨询: QQ交谈

邮箱: email@wangzhan.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部