什么是组策略活动目录域AD Grou olicy Collecion之一此文译自 Grou

什么是组策略活动目录域ADGroupPolicyCollection之一此文译自GroupPolicyCollection组策略是一个允许您执行针对用户和计算机进行配置的基础架构。组策略设定包含在组策略对象中(GPOs)，它们被链接到这些活动目录服务的容器：站点，域或者组织单元(OUs)。这些GPO中的设置随后利用活动目录的层级性质，实施于受影响的对象。因此，组策略是部署活动目录的一个最主要的原因之一，因为它能够让您方便的管理用户和计算机对象。组策略是组管理技术之一，这些统称为IntelliMirror®管理技术，即便用户从网络中脱离，仍然可以在任意被管理的计算机上向用户提供统一的应用程序，应用程序设定，漫游用户配置文件以及用户用户数据。IntelliMirror通过一组Microsoft®Windows®功能得以实现，这包括活动目录，群组策略，软件安装，WindowsInstaller，文件夹重定向，脱机文件夹以及漫游用户配置文件。这个集合包括如下组策略领域的内容：

?核心群组策略?组策略组件?组策略管理工具此章节介绍组策略管理的概念和结构，概述组策略集合的内容以及描述组策略设定。组策略管理管理员面对IT架构中日益复杂的挑战，您必须为各类员工发布、维护定制的桌面设定，如移动用户，信息工作者以及其他严格界定工作任务的用户，比如数据录入。安全设定和更新必须有效的传递给组织中的所有计算机和设备。而用户不必经过昂贵的培训就可以投入生产。在遭遇计算机崩溃或者灾难性事件中，服务必须在最小数据丢失和中断下恢复。所有这些任务，总所周知的改变和设置管理，必须尽可能低开小的情况下完成。您需要能够做到快速的执行变更以及对于大量用户和计算机实施。组策略就是允许您在活动目录中基于对象一级执行变更的基础结构。您需要能够一次定义这些设置，依靠操作系统强制执行状态。使用活动目录，可以将GPOs链接到站点，域以及，允许将组策略设置应用到用户和计算机。另外，通过对于一些针对服务器操作和安全性的设定，GPOs可以协助管理服务器。这个基础架构具有很强的适应能力，允许您自定义配置，诸如为一个ou中，基于成员关系的用户，发布指定的软件。另外，组策略管理控制台(GPMC)简化拉群组策略的执行和管理。组策略结构组策略采用一个中央文档的方法去创建，存储和关联组策略设置。与MicrosoftWord将信息存储在.doc文件的发放相类似，组策略设置存储在GPO中。GPO是个虚拟的对象，组策略设置信息存储在两个位置：链接GPO的活动目录容器和域控制器上的Sysvol。桐设置组策略叙主要通过两锁个工具:组柱策略对象编笛辑器，(以敬前大家知道厦是使用组策究略插件，组陡策略编辑器燕或者Gpe融dit)在和组策略管傲理控制台(苹GPMC)估，它们都可凯以从Mic顺rosof剂t网站上者下载到。组逆策略对象编喘辑器用户设将置修改GP屑O中的设置孙，而GP摘MC用于蒜创建、查看趴和管理GP励O。下图忽中展示了组四策略架构，拳以及各祖尧垂组件是如何洒通过读写访肝问互相影响参的。随后的速表格中描述颗了各相关组爸件。组策略结构鸣组策略组件职宁组件准描述桨服务器(拜域控制器)窄救在活动目录狗森林中，域啦控制器是一境台包含活动喷目录数据库乏的拷贝，参徒与防活动目录复扑制缸以及控制网厕络资源访问纠服务器，辅活动目录汇活动目录，俘基于Win舱dows目群录服务，存疏储网络中对云象的信息，黄并将信息提炒供给用户和增网络管理丽员。管理员尺将GPOs定链接到诸举如站点，域报和OUs痛等包含了用负户和计算机榜对象的容器唉上，从而将南组策略设置葬实施于组织北中的用户和艳计算机。队组策略对象疏(GPO)要GPO是一好个组策路设厉置的集合，骨作为一个虚幕拟的对象存躲储在域中，它由组策略容畜器(GPC通)和组策箭略模板(G亿PT)组成右。GPC，赌包含GPO腿的属性信息锄，存储在域表中每台域控混制器活动目比录中。GP烟T包含G坛PO的数提据，存储在搂Sysvo帝l的/钻Polic队ies子朽目录下。G屿PO能够影计响包含在站历点，域和O摇U中的用户办和计算机。埋做Sysvo克l含Sysvo伯l是一个蔬共享念目录，存储产了域中公用犯文件的副本绞，此副本在霞域中所有的仍域控制器之坏间同步。菠Sysvo纱l包含了任GPO中的答数据:G侦PT，包含蚁了基于组策恋略设置，安争全设置，移脚本革文件以及关畅于软件安装泽应用程序的卡相关信息的煮管理模板。吐它通过文件允复制服务冠(FRS)键得以同步。染本地组策略捆对象骗本地组策略寸对象(lo肚calG浙PO)存储庙在每台个人悔计算机上的死%syst趴emroo坡t%\Sy钱stem3霜2\Gro印upPol楚icy目变录下，具有蔽隐藏属性。棵每一台运行劣Windo筋ws20舒00,W绩indow罩sXP拼Profe押ssion馆al,W池indow吵sXP盆64-Bi绿tEdi拌tion,介Wind饺owsX拿PMed勺iaCe俗nter邮Editi结on或者笛Windo忽wsSe傲rver?中2003肌的计算机掀，不论它是钟否处于活动趁目录环境中香，都设置了恢严格的lo驴calG拍PO。编Local做GPOs叠不支持某资些扩展，比蔽如文件夹重症定向或者软填件安装组策羞略。也不支豪持一些安全困性设定，但于组策略对象拒编辑器的安泥全设定扩展赔不支持lo片calG按PO的远程骑管理。Lo齿calG末POs始筛终在执行，搜但它在活动足目录环境中扭影响力最小淘，因为基于抵活动目录的侧GPOs堵优先。屑尽管您可以汽在个人计算伐机上设置l块ocal渠GPO，但践组策略的完莫整功能只有尖在安装了活浑动目录的W酸indow古sSer保ver网肢络中方能得如以实现。另致外，一些功表能和组策略威设置在客户济端需要Wi摸ndows嫂XP的支航持挣组策略对象脖编辑器膛组策略对象吓编辑器是一剂个微软管理剑控制台(M惰MC)单元排，用于编辑栏GPO。仍之前是组策嚼略管理单元昂，组策略编构辑器或者G炊pedit夜.筋服务端管理技单元庄MMC管练理单元默认渗情况下被组宜策略对象编爷辑器加载。割当客户端扩删展在目标客侵户端计算机夜上执行实际抬的策略设置疑的时候，服犁务端管理单云元扩展提供唉用户接口，拾允许您设置协不同的策略尾设置。吨管理单元扩投展包括管理轧模板，脚本仗，安全性设彻定，软件安怀装，文件夹买重定向，远斜程安装服务摇，Inte嫩rnet龙Explo面rer维馆护，磁盘配堂额，无线网扔络策勒以及遍QoSP历acket蜘Sche貌duler样.管理单秘元可以被扩嚼展，比如安划全设置管理怖单元包括几杠个扩展管理傲单元。开发箩者也可以创乒建他们自己晒的MMC扩蝴展管理单元巩，使得足策在略对象编辑相器提供附加卷的组策略设漠置。统客户端扩展香客户端扩展盯(CSEs帐)在动态悔链接库(很DLLs)利中运行，为蔑组策略在客爽户端计算机煌上的执行负犯责。缺省状挖态下Win属dows危Serve冰r200掉3装载如下谋CSE:港管理模板，匀无线网络策惊略，文件夹磁重定向，磁构盘配额，师QoSP昼acket座Sche霉duler暗，脚本，安兰全，In决terne丑tExp蹦lorer剥维护，E异FS恢复记，软件安装栗以及IP偷安全摇组策略管理深控制台(呀GPMC)和GPMC裁是一个新的仓进行组策略蔬单一化执行击和管理工具齿。它由一个接新的管理单伏元和组策略款管理的脚本渣集合组成。峰组策略管理俯控制台提供躁：慰?一个基古于如何定制壤使用和管理徐组策略的用骑户界面，这解比之前基于丹技术如何构尼建要来的好贴。勇?导入/转导出，复制要/粘贴和G种PO的搜索钻?组策略窑相关安全的析单一化管理挨芹?对于G愤PO和策略唇结果集(钩RSoP)破数据的报表榆(对于GP液O的打印，瓣保存，只读详访问)惨?GPO科的备份/恢滤复智?用此工魂具查看GP援O操作脚本葛(但不能栗查看GPO寸中设置的脚鹅本).健策略结果集本管理单元(伍RSoP)盛拜策略结果集延(RSo拔P)管理鬼单元是一个盒单一的组策派略执行和错订误排查的M栏MC管理健单元。RS新oP使用剑Windo厅ws管理规文范(WM炮I)相测定组策略虑设定是如何叔被应用到用获户和计算机形商的。对于罚RSoP功早能性来说，亚它建议在G不PMC中使惑用此报表功惕能。赶Winlo睛gon泰Windo业ws操作瓣系统中提供侄交互式登陆非支持的组件革，Winl方ogon前是组策略引领擎运行的服棚务。.呢组策略引擎池组策略引擎踩是一个扩越役客户端扩展惊，包括组策洋路运作排程哑，从相关设肾置定位中获丢取GPO以当及GPO的坦排序和过滤叉，处理共处虎理公用功能挤性的框架。坚文件系统串存在于客户慈端计算机上洋的NTFS兰文件系统背注册表交一个关于计山算机设置信冠息的存储数禽据库，注册鼓表包含系统居操作期间W暮indow犹s不断设计脊的信息，比碰如：姓1.每个牙用户的配置继文件。沫2.安装饼在计算机上常的程序和每门个能够创建伯的文档类型取。已3.文件锄夹和程序图伪标的属性设易置。储4.系统杯硬件堤5.使用疮中的端口特注册表是树拖状层级组织面，它由键及致其子键，配玻置单元以及负注册项构成斜。注册表引救擎对于注册缺表具有读写淡权限。注册趴表设置可以筛通过组策略妻管理模板扩筐展来控制。或奋事件日志以事件日志是阻一个服务，腥处于事件查适看器，在系王统，安全和刻应用程序日芹志中记录事箩件。组策略爱引擎对于客慌户端和域控偷制器上的事摊件日志具有启写访问。熔帮助和支持倍中心奥帮助和支持灶中心是一个观存在于每台购计算机上的宵组件，为作馆用于计算机哈上的组策略叼设置提供H誉TML报表乐。返策略结果集割(RSo洲P)基础狼结构脊所有的组策附略执行信息搬被收集、储缴存在本地计赏算机上的共播用信息模型格对象管理(性CIMOM贞)数据库中域，这个信息冬，例如列表虹、目录和每假个GPO处歪理的详细记娃录，可以被午使用WMI寨的工具访问酷。劫在日志模式舞(组策略结恩果)，RS驼oP查询颤目标计算机蚀上的CIM驾OM数据孝库，获取关埋于策略的相银关信息并将曲其显示在G古PMC中。凳在规划模式护(组策略模躁型),R柱SoP虚源拟出域控制紧器上使用组惕策勒目录访塌问服务(G孩PDAS)闪的策略运作有环境，由G朋PDAS模鱼仿GPO运瓣作，并将它刃们传递给域贯控制器上的浮虚拟客户端膜扩展，这个授模拟过程的蜂结果在回传惰并显示在G爬PMC之前菊，存储在本事地CIMO丽M数据库半中。绘WMI气WMI是一姥个管理的基士础架构，它细支持通过一萝组公用界面筛实施系统资阶源的监视和元控制，同时曲提供一个逻宰辑上有组织朗的，一致的腊Windo敞ws操作葬、配置信息娘和状态模型奸。悟WMI收集朋目标计算机帮的相关数据锁用于管理用谱途，这些数练据包括硬件地和软件列表谜，设置和配晋置信息。例猾如：WMI克公开诸如C影PU，内存稻，磁盘空间妹，内存和厂逼商等硬件信锡息，从注册漠表，驱动程撤序，文件系凶统，活动目喊录，Win绒dows直Insta衰ller服讨务，网络配循置和应用程东序数据中获浮取软件信息翼。Wind跳owsS形erver棍2003上踏的WMI于过滤允许您待给予这些数上据创建查询帮，这些查询昌（也称为W燕MI过滤器毫）检测，在超您创建顾虑春其的地方，竖用户和计算厕机将会接受葛到的所有的买策略设置。优组策略辨这个主题解梢释了群组策津略基础架构田，包括组策截略引擎如何温控制处理策狱略，包括G本PO的恢复洋，个别扩展歇的调用以及完其它功能性诱基础架构。躬组策略组件讨子集描述了握服务端管理会单元扩展和召客户端扩展豪的扩展角色行。这些扩展鱼包括：管理故模板，软件此安装，安全桶设定，巷脚本鸟，远程安装洋服务，In娱terne京tExp盲lorer故维护，文件外夹重定向，苦QoS数据勇包调度程序愁,磁盘配妄额以及无线绍网络策略厌。忙组策略管理痛工具都此子集解释派力包括组策奇略对象编辑润器，组策略纺管理控制台摇以及策略结驻果集管理单腰元在内的管抗理工具(澡RSoP)街。狐群组策略被灶用于定义用矩户和计算机倍的群组配置驰。使用群组置策略，您可拼以在大范围燥内指定详细此而精确的配罪置，包括管贿理模板（基虎于策略的注暑册表），安厨全，软件安堵装，脚本，盯文件架重定待向，远程服亦务安装以及是Inter床netE师xplor猪er维护低。群组策略轧设置包含在宽GPO中，德通过将GP碑O同选定维活动目录佳系统萄容器—站点查、域和组织菊单元—相关筒联，GPO候的群组策略玻设置被应用杰到那些活动笑目录容器中年的用户和计稼算机上。这杨个章节将会罚告诉您能够色用组策略去串做什么。阶桌面、应用绵程序以及基怀于注册表策与略的组件管盏理汇管理模板(刺或者.a根dm文件次)允许您妨使用组策略学控制注册表问设置，提供删设置桌面的哲行为和外观杰，这包括操篮作系统，组桃件和应用程升序。Win隐dows蹈中预先定义现了一组管理舍模板文件，陡它们是作为挨文本文件实另现的（使用研.adm的猴扩展名），烛注册表设置悟可以定义在侦GPO中。烧这些.ad椒m文件默维认保存在两弄个位置:止包含在Sy疯svol驴文件架的G柿PO中和本教地计算机上萝%wind挣ir%\i瓜nf的目双录中。安全管理录组策略可以纠对于用户、连客户端、服踏务器以及倦域控制器盏，进行如下吊的安全类型祥选项管理：歇?安全设瓶置此组策豪略设置用于柱指定各种安葬全相关的操描作系统参数料，例如密码米策略，用户买权限委派，穿审核策略，兽注册表键值断，文件和注途册表ACL台以及服务启薄动模式屈?IPS膊ec策略凡这些组策滴略设置用于暑对认证或者假加密网络通驱信，设置I术PSec那服务。IP卖Sec策乖略由一组安莲全策略，每腐条安全策略柱由一条作用决的IP筛杯选构成。凝?软件限猫制策略这湖些群组策略桌设置用于保肯护计算机原战理那些不受扒信任的代码板，以及指定输允许运行的东应用程序怒?无线网颗络策略无脂线网络服务方，一个针对浓每块安装于妨计算机上，修符合IEE城E802.材11标准的犹无线网卡，夫实施操作的朵用户模式服键务，这些群毯组策略设置促用于针对此悦服务进行配克置设定，皂?共用密渗匙策略这乡些策略设定终用于：顿?指定计逗算机自动将辆证书请求发秀送到权威认敏证并安装发各布的证书。擦?创建并泄发布一个证耻书信任列表买?建立共途用信任根权株威认证孤?添加加佣密数据恢复梅代理以及变推更加密数据夹恢复策略设晓置。裁执行软件安屋装组策略碑软件安装管括理单元用于挽集中管理软证件。软件可训以指派或者呈发布给用户谱，同时也可户以指派给计移算机。软件激安装组策略筐可以用于计伪算机启动，最用户登录或祝者发出软件型安装请求时闲安装应用程范序。此策略博设定可以被算应用到活动卸目录架构中葡的用户或者袖计算机。秃软件安装策豪略也可以用若户升级已发苍布的应用程夜序，或者卸监载早期安装赠已不再需要竖的应用程序山。此策略限证制用户从本芽地介质，比撒如CD-R暮OM，或者熔磁盘安装任半何应用软件鉴或者其他未搞经授权的应邮用程序。毕中、大型的搂组织可以考纤虑使用Sy渣stems勾Mana锣gemen尺tSer帮ver(引SMS).巾SMS陆提供高性能身的服务，诸牛如基于对象色的清单，状摧态报告，服甜务和客户端家计划任务，纠多站点设施口，混合对象枣，集中的硬伟件和软件清皇单，远程诊抽断工具，软适件测定，软牧件发布点的店数目与维护袍，支持Wi斗ndows逢95,洪Windo蛙ws98抬,Win餐dows压NT®4先.0,W荡indow断s200号0和Wi愁ndows坑XP客策户端以及增该强型软件发宅布功能。S幕MS不需毕要活动目录纺。俩远程操作系照统安装管理坦远程安装服呼务(RI屡S)用于序控制如同客鸣户端计算机神所显示的，没远程操作系洽统安装功能卖