实用网络操作系统 教学课件 作者 史宝会 1第08章.pptVIP

第 8 章 组 策 略 8.1 组 策 略 概 述 8.2 组 策 略 对 象 8.3 管理模板策略的设置 8.4 账户策略的设置 8.5 本地策略的设置 8.6 登录/注销、启动/关闭脚本 8.7 部 署 应 用 程 序 8.1 组 策 略 概 述 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，非常困难和烦杂。 而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单地说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 组策略可以针对站点、域和组织单位设置。这些组策略的数据存储在活动目录内（域控制器“%systemroot%\SYSVOL\sysvol\域名\Policies”目录下）。 组策略分为“计算机配置”与“用户配置”两部分。 （1）计算机配置：当计算机启动时，就会根据“计算机配置”的内容来设置计算机的环境。针对站点、域或组织单位设置组策略，则此组策略会被应用到站点、域或组织单位内的所有计算机。 （2）用户配置：当用户登录时，就会根据“用户配置”的内容来设置用户的工作环境。针对站点、域或组织单位设置组策略，则此组策略会被应用到站点、域或组织单位内的所有用户。 另外还有本地组策略，它是针对每一台Windows 2000 Serve所进行的设置。本地组策略数据存储在本地计算机的“%systemroot%\system32\GroupPolicy”目录内，只针对本地计算机和本地用户。 组策略对象不是用户配置文件。用户配置文件是用来进行用户环境设置的，它允许用户进行更改，例如：桌面设置、NTUser.dat文件中的注册表配置、用户配置文件目录、My Documents以及Favorites等。而组策略是由系统管理员管理和维护的，系统管理员使用MMC管理工具对用户组和计算机组设置策略。 8.1.1 组策略的应用顺序与规则 如果在本地计算机、站点、域和组织单位内分别设置了组策略，则这些组策略的应用顺序为：本地组策略（即本地安全策略，存储在本地计算机内）；站点的组策略；域的组策略；组织单位的组策略（后3项的数据存储在活动目录内）。 具体的应用规则说明如下。 （1）如果在父容器内建立了一个组策略，但是并未在子容器建立组策略，则子容器会继承在父容器内所建立的组策略。例如针对域建立了组策略，则这个组策略也会被应用到域内的组织单位和更低的组织单位。 （2）如果另外在子容器内建立了组策略，在默认情况下子容器的组策略则要取代父容器的组策略。例如针对域和下面的组织单位都设置了组策略，则组织单位的组策略会替代域的组策略。 （3）如果父容器未被设置组策略，则子容器不会继承父容器的组策略。 （4）如果父容器设置了组策略，但是子容器内的组策略并未设置，则子容器会继承父容器的组策略。 存在这样一些机制：用户可以强制继承或阻止组策略对象影响用户组和计算机组，这可以通过“禁止替代”和“阻止策略继承”的设置来实现。 特别要指出的是，组策略不影响安全组。但是可以使用安全组来过滤组策略，也就是改变它的范围。 8.1.2 阻止策略的继承 在子容器组策略内，可以通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置，也就是直接以子容器的组策略为其设置。 通常，组策略由父容器传到子容器。如果为一个高级别的父容器指派特定的组策略，则这个组策略适用于该父容器下的所有子容器，包括每个子容器中的用户和计算机对象。但是，如果明确为某个子容器指定组策略设置，则子容器的组策略设置将覆盖父容器的设置。 如果父容器具有“没有配置”的策略设置，则子容器将不能继承这些策略。禁用的策略设置继承后也是禁用的。如果为父容器配置了一项策略，而在子容器中没有配置相同的策略，那么子组织单位将继承父组织单位的策略设置。 如果父容器组策略和子容器组策略是兼容的，那么子容器可以继承父容器的策略。只要策略兼容，它们就可以继承。例如，如果父容器组策略中将某个文件夹放在桌面上，而子容器组策略中设置使用另外一个文件夹，这时子容器中的用户会同时看到两个文件夹。 如果为父容器配置的组策略和子容器配置的组策略不兼容，子级将不能继承父级