什么是组策略活动目录域AD Group Policy Collection之一此文译自 Group

1、.：.；什么是 HYPERLINK gnaw0725.blogbus/logs/18223191.html HYPERLINK gnaw0725.blogbus/logs/18223191.html 组战略 HYPERLINK gnaw0725.blogbus/c1404552/ 活动目录域AD Group Policy Collection之一此文译自 HYPERLINK microsoft/technet/prodtechnol/windowsserver2003/library/TechRef/6d7cb788-b31d-4d17-9f1e-b5ddaa6deecd.mspx Group

2、 Policy Collection HYPERLINK gnaw0725.blogbus/logs/18223191.html 组战略是一个允许您执行针对用户和计算机进展配置的根底架构。组战略设定包含在组战略对象中(GPOs)，它们被链接到这些活动目录效力的容器：站点，域或者组织单元(OUs)。这些GPO中的设置随后利用活动目录的层级性质，实施于受影响的对象。因此，组战略是部署活动目录的一个最主要的缘由之一，由于它可以让您方便的管理用户和计算机对象。 HYPERLINK gnaw0725.blogbus/logs/18223191.html 组战略是组管理技术之一，这些统称为IntelliM

3、irror 管理技术，即使用户从网络中脱离，依然可以在恣意被管理的计算机上向用户提供一致的运用程序，运用程序设定，遨游用户配置文件以及用户用户数据。IntelliMirror 经过一组Microsoft Windows 功能得以实现，这包括活动目录，群组战略，软件安装，Windows Installer，文件夹重定向，脱机文件夹以及遨游用户配置文件。这个集合包括如下组战略领域的内容：? 中心群组战略 ? 组战略组件 ? 组战略管理工具此章节引见组战略管理的概念和构造，概述组战略集合的内容以及描画组战略设定。组战略管理管理员面对IT架构中日益复杂的挑战，您必需为各类员工发布、维护定制的桌面设定，

4、如挪动用户，信息任务者以及其他严厉界定任务义务的用户，比如数据录入。平安设定和更新必需有效的传送给组织中的一切计算机和设备。而用户不用经过昂贵的培训就可以投入消费。在遭遇计算机解体或者灾难性事件中，效力必需在最小数据丧失和中断下恢复。一切这些义务，总所周知的改动和设置管理，必需尽能够低开小的情况下完成。您需求可以做到快速的执行变卦以及对于大量用户和计算机实施。组战略就是允许您在活动目录中基于对象一级执行变卦的根底构造。 您需求可以一次定义这些设置，依托操作 HYPERLINK gnaw0725.blogbus/c1404551/ 系统强迫执行形状。运用活动目录， 可以将GPOs 链接到站点，域

5、以及，允许将组战略设置运用到用户和计算机。另外， 经过对于一些针对效力器操作和平安性的设定，GPOs 可以协助管理效力器。 这个根底架构具有很强的顺应才干，允许您自定义配置，诸如为一个ou中，基于成员关系的用户，发布指定的软件。另外，组战略管理控制台(GPMC) 简化拉群组战略的执行和管理。 组战略构造组战略采用一个中央文档的方法去创建，存储和关联组战略设置。与Microsoft Word 将信息存储在.doc 文件的发放相类似，组战略设置存储在GPO中。GPO 是个虚拟的对象 ，组战略设置信息存储在两个位置：链接GPO的活动目录容器和 HYPERLINK gnaw0725.blogbus/l

6、ogs/18971316.html 域控制器上的Sysvol 。 设置组战略主要经过两个工具:组战略对象编辑器，(以前大家知道是运用组战略插件，组战略编辑器或者Gpedit) 和组战略管理控制台(GPMC)，它们都可以从Microsoft 网站上下载到。组战略对象编辑器用户设置修正GPO中的设置，而 GPMC 用于创建、查看和管理GPO。 以下图中展现了组战略架构，以及各祖尧组件是如何经过读写访问相互影响的。随后的表格中描画了各相关组件。组战略构造组战略组件 组件描画效力器 (域控制器) 在活动目录森林中，域控制器是一台包含活动目录数据库的拷贝，参与 HYPERLINK gnaw0725.bl

7、ogbus/logs/16944333.html 活动目录复制以及控制网络资源访问效力器， 活动目录活动目录，基于Windows目录效力，存储网络中对象的信息，并将信息提供应用户和 HYPERLINK gnaw0725.blogbus/c1404551/ 网络管理员。管理员将GPOs 链接到诸如站点，域和OUs 等包含了用户和计算机对象的容器上，从而将组战略设置实施于组织中的用户和计算机。 组战略对象(GPO)GPO是一个组策路设置的集合，作为一个虚拟的对象存储在域中，由组战略容器(GPC) 和组战略模板(GPT)组成。GPC，包含GPO的属性信息，存储在域中每台域控制器活动目录中。GPT 包

8、含GPO 的数据，存储在Sysvol 的 /Policies 子目录下。GPO可以影响包含在站点，域和OU中的用户和计算机。 SysvolSysvol 是一个 HYPERLINK gnaw0725.blogbus/logs/16616187.html 共享目录，存储了域中公用文件的副本，此副本在域中一切的域控制器之间同步。 Sysvol 包含了GPO中的数据: GPT，包含了基于组战略设置，平安设置， HYPERLINK gnaw0725.blogbus/c1404554/ 脚本文件以及关于软件安装运用程序的相关信息的管理模板。它经过文件复制效力 (FRS)得以同步。本地组战略对象本地组战略对

9、象(local GPO)存储在每台个人计算机上的%systemroot%System32GroupPolicy 目录下，具有隐藏属性。每一台运转Windows 2000, Windows XP Professional, Windows XP 64-Bit Edition, Windows XP Media Center Edition或者 Windows Server? 2003 的计算机，不论它能否处于活动目录环境中，都设置了严厉的local GPO。 Local GPOs 不支持某些扩展，比如文件夹重定向或者软件安装组战略。也不支持一些平安性设定，但组战略对象编辑器的平安设定扩展不支持l

10、ocal GPO的远程管理。Local GPOs 一直在执行，但它在活动目录环境中影响力最小，由于基于活动目录的GPOs 优先。虽然您可以在个人计算机上设置local GPO，但组战略的完好功能只需在安装了活动目录的Windows Server 网络中方能得以实现。另外，一些功能和组战略设置在客户端需求Windows XP的支持组战略对象编辑器组战略对象编辑器是一个微软管理控制台(MMC)单元，用于编辑GPO。 之前是组战略管理单元，组战略编辑器或者Gpedit. 效力端管理单元MMC 管理单元默许情况下被组战略对象编辑器加载。当客户端扩展在目的客户端计算机上执行实践的战略设置的时候，效力端管

11、理单元扩展提供用户接口，允许您设置不同的战略设置。 管理单元扩展包括管理模板，脚本，平安性设定，软件安装，文件夹重定向，远程安装效力，Internet Explorer 维护，磁盘配额，无线网络策勒以及QoS Packet Scheduler. 管理单元可以被扩展，比如平安设置管理单元包括几个扩展管理单元。开发者也可以创建他们本人的MMC扩展管理单元，使得足战略对象编辑器提供附加的组战略设置。 客户端扩展客户端扩展(CSEs) 在动态链接库 (DLLs)中运转，为组战略在客户端计算机上的执行担任。缺省形状下Windows Server 2003装载如下CSE: 管理模板，无线网络战略，文件夹重

12、定向，磁盘配额， QoS Packet Scheduler，脚本，平安， Internet Explorer 维护，EFS 恢复，软件安装以及IP 平安 组战略管理控制台 (GPMC)GPMC 是一个新的进展组战略单一化执行和管理工具。它由一个新的管理单元和组战略管理的脚本集合组成。组战略管理控制台提供： ? 一个基于如何定制运用和管理组战略的用户界面，这比之前基于技术如何构建要来的好。 ? 导入/导出，复制/粘贴和GPO的搜索? 组战略相关平安的单一化管理 ? 对于GPO和战略结果集 (RSoP)数据的报表(对于GPO的打印，保管，只读访问) ? GPO的备份/恢复? 用此工具查看GPO操作

13、脚本 (但不能查看GPO中设置的脚本).战略结果集管理单元(RSoP) 战略结果集 (RSoP) 管理单元是一个单一的组战略执行和错误排查的MMC 管理单元。RSoP 运用Windows管理规范 (WMI) 测定组战略设定是如何被运用到用户和计算机商的。对于RSoP功能性来说，它建议在GPMC中运用此报表功能。 WinlogonWindows 操作系统中提供交互式登陆支持的组件，Winlogon 是组战略引擎运转的效力。. 组战略引擎组战略引擎是一个扩越客户端扩展，包括组策路运作排程，从相关设置定位中获取GPO以及GPO的排序和过滤，处置共处置公用功能性的框架。文件系统存在于客户端计算机上的N

14、TFS 文件系统注册表一个关于计算机设置信息的存储数据库，注册表包含系统操作期间Windows不断设计的信息，比如： 1. 每个用户的配置文件。 2. 安装在计算机上的程序和每个可以创建的文档类型。 3. 文件夹和程序图标的属性设置。 4. 系统硬件 5. 运用中的端口注册表是树状层级组织，它由键及其子键，配置单元以及注册项构成。注册表引擎对于注册表具有读写权限。注册表设置可以经过组战略管理模板扩展来控制。 事件日志事件日志是一个效力，处于事件查看器，在系统，平安和运用程序日志中记录事件。组战略引擎对于客户端和域控制器上的事件日志具有写访问。 协助 和支持中心协助 和支持中心是一个存在于每台计

15、算机上的组件，为作用于计算机上的组战略设置提供HTML报表。 战略结果集 (RSoP) 根底构造一切的组战略执行信息被搜集、储存在本地计算机上的共用信息模型对象管理(CIMOM)数据库中，这个信息，例如列表、目录和每个GPO处置的详细记录，可以被运用WMI的工具访问。 在日志方式(组战略结果)，RSoP 查询目的计算机上的CIMOM 数据库，获取关于战略的相关信息并将其显示在GPMC中。在规划方式(组战略模型), RSoP 虚拟出域控制器上运用组策勒目录访问效力(GPDAS)的战略运作环境，由GPDAS模拟GPO运作，并将它们传送给域控制器上的虚拟客户端扩展，这个模拟过程的结果在回传并显示在G

16、PMC之前，存储在本地CIMOM 数据库中。WMI WMI是一个管理的根底架构，它支持经过一组公用界面实施系统资源的监视和控制，同时提供一个逻辑上有组织的，一致的Windows 操作、配置信息和形状模型。 WMI搜集目的计算机的相关数据用于管理用途，这些数据包括硬件和软件列表，设置和配置信息。例如：WMI公开诸如CPU，内存，磁盘空间，内存和厂商等硬件信息，从注册表，驱动程序，文件系统，活动目录，Windows Installer效力，网络配置和运用程序数据中获取软件信息。Windows Server2003上的WMI 过滤允许您给予这些数据创建查询，这些查询也称为WMI过滤器检测，在您创建顾

17、虑其的地方，用户和计算机将会接遭到的一切的战略设置。 HYPERLINK gnaw0725.blogbus/logs/18223191.html 组战略 HYPERLINK microsoft/resources/documentation/windowsServ/2003/all/techref/en-us/W2K3TR_gp_over.asp?frame=true l toptop 这个主题解释了群组战略根底架构，包括组战略引擎如何控制处置战略，包括GPO的恢复，个别扩展的调用以及其它功能性根底架构。组战略组件子集描画了效力端管理单元扩展和客户端扩展的扩展角色。这些扩展包括：管理模板，软件

18、安装，平安设定， HYPERLINK gnaw0725.blogbus/c1404554/ 脚本，远程安装效力，Internet Explorer维护，文件夹重定向，QoS数据包调度程序, 磁盘配额以及无线网络战略 。组战略管理工具此子集解释力包括组战略对象编辑器，组战略管理控制台以及战略结果集管理单元在内的管理工具 (RSoP) 。 HYPERLINK microsoft/resources/documentation/windowsServ/2003/all/techref/en-us/W2K3TR_gp_over.asp?frame=true l toptop 群组战略被用于定义用户和计

19、算机的群组配置。运用群组战略，您可以在大范围内指定详细而准确的配置，包括管理模板基于战略的注册表，平安，软件安装，脚本，文件架重定向，远程效力安装以及Internet Explorer 维护。群组战略设置包含在GPO中，经过将GPO同选定 HYPERLINK gnaw0725.blogbus/c1404552/ 活动目录 HYPERLINK gnaw0725.blogbus/c1404551/ 系统容器站点、域和组织单元相关联，GPO的群组战略设置被运用到那些活动目录容器中的用户和计算机上。这个章节将会通知您可以用组战略去做什么。桌面、运用程序以及基于注册表战略的组件管理管理模板(或者 .ad

20、m 文件) 允许您运用组战略控制注册表设置，提供设置桌面的行为和外观，这包括操作系统，组件和运用程序。Windows 中预先定义了一组管理模板文件，它们是作为文本文件实现的运用.adm的扩展名，注册表设置可以定义在GPO中。这些.adm 文件默许保管在两个位置: 包含在Sysvol 文件架的GPO中和本地计算机上%windir%inf 的目录中。平安管理组战略可以对于用户、客户端、效力器以及 HYPERLINK gnaw0725.blogbus/logs/18971316.html 域控制器，进展如下的平安类型选项管理：? 平安设置 此组战略设置用于指定各种平安相关的操作系统参数，例如密码战略

21、，用户权限委派，审核战略，注册表键值，文件和注册表ACL以及效力启动方式? IPSec 战略 这些组战略设置用于对认证或者加密网络通讯，设置IPSec 效力。IPSec 战略由一组平安战略，每条平安战略由一条作用的IP 挑选构成。? 软件限制战略 这些群组战略设置用于维护计算机原理那些不受信任的代码，以及指定允许运转的运用程序? 无线网络战略 无线网络效力，一个针对每块安装于计算机上，符合IEEE802.11规范的无线网卡，实施操作的用户方式效力，这些群组战略设置用于针对此效力进展配置设定，? 共用密匙战略 这些战略设定用于：? 指定计算机自动将证书恳求发送到权威认证并安装发布的证书。? 创建

22、并发布一个证书信任列表? 建立共用信任根权威认证? 添加加密数据恢复代理以及变卦加密数据恢复战略设置。执行软件安装组战略软件安装管理单元用于集中管理软件。软件可以指派或者发布给用户，同时也可以指派给计算机。软件安装组战略可以用于计算机启动，用户登录或者发出软件安装恳求时安装运用程序。此战略设定可以被运用到活动目录架构中的用户或者计算机。软件安装战略也可以用户晋级已发布的运用程序，或者卸载早期安装已不再需求的运用程序。此战略限制用户从本地介质，比如CD-ROM，或者磁盘安装任何运用软件或者其他未经授权的运用程序。中、大型的组织可以思索运用Systems Management Server (SMS). SMS 提供高性能的效力，诸如基于对象的清单，形状报告，效力和客户端方案义务，多站点设备，混合对象，集中的硬件和软件清单，远程诊断工具，软件测定，软件发布点的数目与维护，支持Windows 95, Windows 98, Windows NT 4.0, Wind