微軟管理控制臺(MMC)中的組策略編輯器(GPE)插件相當於NT 4.0中的系統策略編輯器poledit.exe。GPE的每個功能節點(如軟件設置、窗口設置、管理模塊等。)是MMC插件的擴展。MMC插件中的擴展是壹個可選的管理工具。如果您是應用程序開發人員,您可以通過定制的擴展來擴展GPO的功能,從而為您的應用程序提供額外的策略控制。
只有運行Win2K的系統才能執行組策略,而運行NT 4.0和Windows 9x的客戶端無法識別或運行帶有AD架構的GPO。
第二,集團政策和廣告
要充分發揮GPO的功能,需要AD域架構的支持。有了AD,可以定義壹個集中的策略,所有Win2K服務器和工作站都可以采用。但是,每臺運行Win2K的計算機都有壹個本地GPO(駐留在本地計算機文件系統上的GPO)。通過本地GPO,您可以為每個工作站指定壹個策略,這在AD域中不起作用。例如,出於安全原因,您不會在AD域中配置公共計算機。使用本地GPO,您可以通過修改本地策略來獲得安全性並限制桌面的使用,而無需使用基於AD域的GPO。有兩種方法可以訪問本地GPO。1的方法是在需要修改GPO的計算機的開始菜單上選擇運行,然後鍵入:gpedit.msc
該操作與NT 4.0中的poledit.exe功能相同,可以打開本地策略文件。第二種方法是手動編輯本地GPO,方法是在MMC控制臺中選擇GPE插件,然後選擇本地或遠程計算機。
本地GPO支持除軟件安裝和文件夾重定向之外的所有默認擴展。因此,僅使用本地GPO無法完成這些任務。要想充分發揮GPO的功能,還是需要AD的支持。
第三,GPO的多樣性和繼承性
在AD中,GPO可以在三個不同的級別上定義:域、組織單位(OU)或地址。OU是AD中的壹個容器,可以分配它來管理用戶、組、計算機和其他對象。地址是網絡上子網的集合,地址形成AD的復制邊界。GPO的命名空間分為兩類:計算機配置和用戶配置。只有用戶和計算機可以使用GPO,比如打印機對象甚至用戶組。
在域或組織單位(OU)中編輯策略有多種方法。在Active Directory用戶或計算機的MMC插件中,右鍵單擊域或組織單位(OU),從菜單中選擇屬性,然後選擇組策略選項卡。在地址中編輯策略時,您需要右鍵單擊Active Directory地址和服務插件,然後右鍵單擊所需的地址以獲取其GPO。另外,妳也可以從開始菜單中選擇運行,然後鍵入:mmc.exe啟動MMC,選擇控制臺,添加/刪除插件,然後選擇組策略插件並瀏覽,AD域中的GPO就會顯示出來,妳可以選擇壹個GPO進行編輯。
根據GPO在AD命名空間中的位置,可能有幾個GPO作用於用戶對象或計算機對象。只有當域中的其他對象由繼承生成時,GPO才由繼承生成。Win2K以下列方式執行GPO。首先,操作系統執行本地系統上的現有策略。然後,Win2K執行定義的地址級GPO、域級GPO和基於OU的GPO。微軟將這種優先級順序縮寫為LSDOU(依次為本地、地址、域和OU級別的GPO)。用戶可以在這個鏈中的許多級別定義GPO。讓我們以pilot域為例來說明如何查看系統中的GPO。啟動Active Directory用戶和計算機的MMC工具,右鍵單擊pilot域名,從菜單中選擇“屬性”項,然後選擇組策略選項卡。此列表頂部的GPO(如全域性安全策略)具有最高優先級,因此Win2K將最後執行它。除了本地系統,妳還可以在每壹級定義幾個GPO,這樣如果不能嚴格管理GPO,就會出現不必要的問題。
GPO的繼承模式與Novell的Zenworks策略完全不同。在Zenworks中,如果在Novell目錄服務(NDS)樹上的不同點使用多個策略包,則只有最接近用戶對象的策略包才起作用。在Win2K中,如果在AD的不同級別定義了四個GPO,操作系統將使用“LSDOU”優先級來實現這些策略,這將是計算機或用戶的四個策略的“總和”。此外,有時壹個GPO中的設置會被其他GPO中的設置抵消。通過AD級GPO,用戶可以有更多的策略控制委托。例如,公司的安全部門負責在域級別為所有系統設備設計壹個安全GPO。通過使用GPO,OU的系統管理員可以有權在OU上安裝軟件。在Zenworks模型中,策略必須在您希望使用它們的所有級別上復制,策略對用戶或計算機對象的影響不是所有策略的“總和”。
為了進壹步控制GPO,微軟提供了三種設置來限制GPO繼承的復雜性。在地址、域和OU級別,用戶可以通過選中復選框來防止從更高級別繼承。同樣,在每個級別,用戶可以選擇默認域策略選項,方法是打開Active Directory用戶和計算機插件,右鍵單擊GPO所在的域或OU,從菜單中選擇屬性,然後選擇組策略選項卡。突出顯示要修改的項目,然後選擇“選項”按鈕。可用選項有“不覆蓋”或“禁止”。如果選擇了“不覆蓋”選項,即使選中了“不能被繼承”復選框,GPO仍將工作。如果妳想在任何地方執行GPO,這個函數非常有用。如果OU的管理員試圖阻止安全策略的繼承,包含安全策略的GPO仍然會被系統執行。“禁止”復選框可以完全禁止GPO執行,這在您編輯GPO並且不希望其他用戶執行它時特別有效。
第四,GPO的實現和過濾
只有用戶和計算機對象可以執行組策略。Win2K在計算機啟動和關機時執行GPO的計算機配置部分定義的策略,在用戶登錄和註銷時執行GPO的用戶配置部分定義的策略。事實上,有些策略可以在用戶登錄時手動執行,例如,可以在命令行模式下運行secedit.exe程序來執行安全策略應用。此外,可以通過管理員模塊策略定期刷新用戶和計算機的GPO設置。默認情況下,每90分鐘刷新壹次,這使得其他用戶很難修改通過組策略定義的策略。但是,軟件安裝策略不會被刷新,因為沒有人希望定期改變策略導致軟件“?加載”,尤其是當其他用戶正在使用它的時候。計算機和用戶對象僅在計算機啟動或用戶登錄時安裝軟件策略。
動詞 (verb的縮寫)GPO的內部組成
GPO由兩部分組成:組策略容器(GPC)和組策略模板(GPT)。GPC是AD中GPO的壹個例子。在壹個叫做system的特殊容器中有壹個128位的全局唯壹ID碼(GUID)。在活動用戶目錄用戶和計算機插件中選擇瀏覽,並從MMC菜單中選擇高級屬性以查看系統容器。GPT是Win2K文件系統中組策略的表達式,所有與壹個GPO相關的文件都依賴於GPT。
第六,GPO帶來的困難
雖然GPO很強大,但是掌握它並不容易。最難掌握的是如何判斷壹個有效的策略如何對域內的計算機或用戶起作用,這壹點尤為困難,因為GPO可以存在於廣告鏈的不同層級。同時,因為您可以分配GPO的控制權,所以不容易知道其他GPO是否會影響您沒有控制權的容器中的GPO。因此,很難計算計算機或用戶對象收到的策略結果集(RSoP)。雖然微軟沒有提供計算RSoP的工具,但是有壹些第三方廠商提供了相應的計算RSoP的工具。
另壹個問題是戰略的實施。如果在廣告鏈的許多級別都有GPO,那麽每次用戶登錄或系統啟動時,所有GPO都將被執行。在Win2K系統中,微軟引入了壹些新的功能來優化系統的性能。首先,GPO的版本信息取決於工作站和GPO。如果GPO沒有改變,系統將不會執行它。此外,在GPE的屬性頁上,可以禁止用戶或計算機執行GPO。如果在系統關閉或啟動時建立GPO來分發腳本,GPO的用戶配置部分將被禁用,這將使工作站無法解析GPO並確定它是否已更改。
最後壹個問題源於GPC和GPT是兩個獨立的實體。GPC是AD中的壹個對象,它與GPT中包含的文件復制不同步,這意味著在創建GPO時,GPC可能已經開始將文件復制到域控制器上的Sysvol。
所有問題的根源在於AD采用了多代理復制模式。理論上,當另壹個系統管理員在域控制器上編輯GPO時,您也可以在域上編輯它。所以在建立GPE時,默認是指“操作主體”中充當PDC的域控制器。(“運營主體”是AD基礎架構中的壹系列托管功能,作為PDC使用的服務器可以兼容運行NT和Win9x的工作站。通常,只授予少數系統管理員編輯GPO的權限,並確保如果有人編輯GPO,其他人也會知道,就可以避免這種情況。此外,需要註意的是,在編輯壹個GPO時,應該將其“禁止”,並在修改後重新啟用。