第18章WindowsServer2003组策略应用.docVIP

第18章 Windows Server 2003中组策略应用 作为一个网络管理员，我们希望有一种方便的、灵活的方法可以控制整个公司的员工的用户桌面环境，可以给用户安装他们所需要的软件而不用您亲自一台一台地去安装。在Windows Server 2003中提供了这种方便灵活地实现方法——组策略。尤其是在域模式的情况下，应用组策略可以提供更加方便灵活的功能。 18.1创建和配置组策略 18.1.1 组策略简介 组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件，例如，用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。要为特定用户组创建特殊的桌面配置，请使用组策略对象编辑器。您指定的组策略设置包含在组策略对象中，而组策略对象又与选定的 Active Directory 对象（即站点、域或组织单位）相关联。 组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何其他 Microsoft Windows 2003 计算机。默认情况下，应用于域的组策略会影响域中的所有计算机和用户。“Active Directory 用户和计算机”还提供内置的“Domain Controllers”组织单位。如果将域控制器帐户保存在那里，则可以使用组策略对象“Default Domain Controllers Policy”将域控制器与其他计算机分开管理。 组策略包括影响用户的“用户配置”策略设置和影响计算机的“计算机配置”策略设置。 使用组策略可执行以下任务： 通过“管理模板”管理基于注册表的策略。组策略创建了一个包含注册表设置的文件，这些注册表设置写入注册表数据库的“User”或“Local Machine”部分。登录到给定工作站或服务器的用户的特定用户配置文件写在注册表的 HKEY_CURRENT_USER (HKCU) 下，而计算机特定设置写在 HKEY_LOCAL_MACHINE (HKLM) 下。 指派脚本。包括计算机的启动、关闭、登录和注销等脚本。 重定向文件夹。可以将文件夹（如 我的文档s 和 My Pictures）从本地计算机上的 Documents and Settings 文件夹中重定向到网络位置上。 管理应用程序。使用组策略，可以通过“组策略软件安装”来指派、发布、更新或修复应用程序。 指定安全选项。 组策略对象 策略设置存储在组策略对象中。可以将组策略对象编辑器看作一个应用程序，它的文档类型是组策略对象，就象文字处理程序使用 .doc 或 .txt 文件那样。 有两种组策略对象：本地和非本地。本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象，而且它拥有在非本地组策略对象中可用的设置的一个子集。如果二者的设置发生冲突，则非本地组策略对象的设置会覆盖本地组策略对象的设置；如果不冲突，则都可以应用。 存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们会应用到与组策略对象相关联的站点、域或组织单位中的用户和计算机。 默认情况下，安装Active Directory时，会创建两个非本地组策略对象： “Default Domain Policy”与域链接，它通过策略继承影响域中的所有用户和计算机（包括作为域控制器的计算机）。 “Default Domain Controllers Policy”与“Domain Controllers”组织单位链接，它通常只影响域控制器，因为域控制器的计算机帐户单独保存在“Domain Controllers”组织单位中。 组策略权限 默认情况下，只有域管理员、企业管理员、组策略生成器所有者和操作系统才可以创建新的组策略对象。如果域管理员希望非管理员或组能够创建组策略对象，则可以将该用户或组添加到 Group Policy Creator Owners 安全组中。当不是管理员、但身为 Group Policy Creator Owners 组成员的用户创建组策略对象时，该用户即成为该组策略对象的创建者和所有者；因此，该用户可以编辑该组策略对象。成为 Group Policy Creator Owners 组的成员后，用户只能完全控制自己所创建的组策略对象（该组策略对象已明确委派给该用户）。非管理员用户对于域中任何其他组策略对象都没有额外的权利 — 这些用户对于别人创建的组策略对象并没有权利。 如表18-1描述了组策略对象上的默认权限。 表18－1 组策略对象上的默认权限 安全组 默认设置 Authenticated Users 读取、应用组策略 (AGP) Local System 完全控制（包含 AGP） Domain administrators 读取、写入、创建子组策略对