第09章组策略概述.doc

组策略 概述 组策略（Group Policy）是Windows 2000中的一个重要的配置和管理工具，管理员可以使用Group Policy来进行计算机和用户的管理和控制。这些管理工作包括修改注册表的策略设置，安全性设置，软件安装，脚本，启动和关闭计算机，用户登录和注销等。通过管理员控制的用户桌面设置，Group Policy可以使一个企业降低总拥有成本。 什么是组策略 使用策略（Policy）来实现集中管理，在微软的产品中早已有之。在NT 4.0中，使用系统策略编辑器来为整个域中的用户、组和计算机制定一个策略，使之能够实现统一的管理，以及使用域用户管理器中的策略菜单为域制定账户策略和权利的委派，都是以策略的形式实现的。 管理员可以使用这些手段进行集中的管理。但是，以前策略主要的作用是锁定，通过锁定用户的桌面来实现管理的目标，因此使得我们不能为某个用户或某一些用户按照他们的需求定制一些策略，并且整个策略文件对于一个域来说也只有一个，所有的策略内容都存在其中，随着域的增大，策略内容的增多，策略文件的执行时间也会越来越长，导致用户登陆的时间延长。除此之外，还有一个最大的缺点，就是安全性很差。所有的策略设置都将在注册表中添加内容，在策略被删除后还会持续作用在注册表和用户配置文件中。 在Windows 2000中，组策略克服了以前的大部分缺点，并且把所有可以分发出去的内容都加了进来，使得网络管理员的工作可以完全依赖于组策略。在某种意义上说组策略实际上是策略的组合，但是组策略是基于Active Directory的，组策略的设置和管理都在AD中进行，然后通过Windows 2000 AD的控制机制作用到域中的所有用户和计算机上。 在Windows 2000中有一个重要的概念，称为改变和配置管理（Change and Configuration Management），这是Windows 2000设计的用于系统和网络自动配置的技术，而组策略则是其中重要的组成部分。 改变和配置管理包含有两方面内容：智能镜像（IntelliMirror）和远程操作系统安装（Remote Installation Service）。智能镜像帮助实现用户的数据管理，软件安装及维护，和用户设置管理，简而言之就是“Everything follow you”，不管用户在什么地方的那个计算机登录，都可以得到用户的数据、桌面和软件。远程操作系统安装负责进行操作系统的快速安装，设置及维护。所有的这些实现都离不开一项核心技术，就是组策略。 在这里大家可以看一下组策略能够给我们带来的好处。例如你是一家公司的网络管理员，有一天你的一个用户告诉你说他的计算机坏了。这时你只需要把一台新的计算机给他，按下电源开关，把坏的计算机拿走就可以了。用户只是等待计算机的所有操作都进行完之后，就可以使用了。所有用户的数据都还在，所有需要的软件已经安装好，系统的设置也和以前一样。就是这样。 组策略是你能为你的用户指定需求，并且依赖于windows 2000，要在上面不断执行的技术。 这里有几个方面的含义。第一，为你的用户指定需求，即由你的用户提出的需求，也就是他想要实现什么样的系统设置，要什么样的桌面，必须使用的软件，等等。同时，用户提出的要求不需要他们自己去实现，而是由管理员负责。我们可以不必对用户要求太高，并且能够实现集中管理。第二，依赖于Windows 2000，只能由Windows 2000来体现组策略，这个新特性不能脱离Windows 2000。第三，在上面不断执行的技术。从这里我们可以看到，不但我们可以使用组策略为我们的用户指定需求，而且当需求改变以后，也可以马上生效。不过另一面大家也可以看到组策略的使用是会带来不小的网络流量的。 组策略的建立 要成功使用Group Policy，需要以下的条件： Active Directory Windows 2000 不支持Windows NT 4.x或更早产品 不支持Windows 9.x或更早产品 组策略的基本构成 组策略在AD中的建立由两个部分组成：组策略对象（Group Policy Object, GPO）和组策略对象连接（GPO Link）。 组策略对象 所有的组策略的设置都被保存在组策略对象中。无论什么时候我们要做什么样的设置，首先都是为这些设置找一个地方来存放它的内容，这个地方就是组策略对象。一个组策略对象是一个Active Directory的对象，就像用户，计算机账户一样，我们可以在Active Directory Users and Computers中管理它。组策略对象存放在AD的System容器的Policies子容器中，另外有部分存放在sysvol中。 在需要建立组策略的时候，总是先创建组策略对象。我们可以建立多个组