Windows2003组策略配置、应用与管理

第10章组策略配置、应用与管理

10.1 组策略基础

组策略是Active Directory（活动目录）服务中允许管理员针对用户和计算机进行配置的基础架构。它与注册表的功能类似，但其设置组织形式更加直观，更加便于操作、配置与管理。它将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

10.1.1 组策略结构

组策略设置主要包括：用户计算机环境（如"开始"菜单、桌面快捷项、控制面板选项、可用程序等）、计算机和用户的本地或网络访问权利，以及其他安全控制策略（如组策略中的各种安全选项、IP安全策略等）。可以用组策略定义用户和计算机组的配置，如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及IE的维护指定策略设置。创建的组策略设置包含在组策略对象（GPO）中，通过将GPO与所选的Active Directory系统容器--站点、域和组织单位相关联，实现组策略设置的具体应用。还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。

组策略可基于活动目录中的用户和计算机账户两种对象分别进行配置，所以在GPO中的组策略设置项中包括"计算机配置"和"用户配置"两大部分（如图10-1所示），这就是组策略的基本结构。而且可以看到，在这两大部分中，有许多设置项是相同的，如都有"软件设置"、"Windows设置"和"管理模板"等这几部分，而且在这些部分中，又有许多相同的子设置选项。我们知道，"计算机配置"是针对计算机对象而言的，"用户配置"是针对用户对象而言的，而用户配置又是通过计算机来应用的，这就存在一个可能两者的相同选项设置不一致、有冲突的问题，这时又该应用哪个设置呢？根据组策略规定，当两者的配置有冲突时，最终以计算机策略为依据。

组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何其他Windows 2000计算机。组策略对象（GPO）的创建的最大容器是域，最小容器是组织单位（OU），当然可以为各级OU创建不同的GPO。不能为特定的计算机或用户创建

单独的GPO。应用于域（即在域级别应用，刚好在"Active Directory用户和计算机"（ADUC）控制台的根目录之上）的组策略（也就是"域组策略"）会影响域中的所有计算机（包括域控制器）和用户。默认的域组策略是Default Domain Policy。ADUC还提供内置的Domain Controllers（域控制器）组织单位（域控制器是域网络中最大的组织单位），默认使用的组策略对象是Default Domain Controllers Policy。域控制器组策略应用于域网络中的所有域控制器，将域控制器策略与其他计算机策略分开管理。

1．GPO类型

在Windows系统组策略中有两种类型的GPO："基于Active Directory的GPO"和"本地GPO"。

基于Active Directory的GPO

基于Active Directory的GPO是指在域网络中应用的组策略对象（GPO）。这些GPO 存储在某个域中，并且复制到该域的所有域控制器上。它们仅在Active Directory（活动目录）环境中可用，可应用于GPO所链接的站点、域或部门中的用户和计算机。但要注意的是，组策略对象只能在域（包括各级子域）和组织单位（包括各级组织单位）上创建，不能在站点上创建，站点只能链接现在的域或组织单位GPO。

【经验之谈】Active Directory中的站点代表网络的物理结构，或称拓扑结构，基本上是与子网对应的，但一个站点也可以包含多个子网。在Active Directory中，站点是通过高速网络（如局域网）有效连接的一组计算机。同一站点内的所有计算机通常放在同一建筑内或在同一校园网络上，如分支机构网络。在一个站点中必须有自己的域控制器，而且必须与子网链接。

站点和域不同：站点代表网络的物理结构，而域代表单位网络的逻辑结构。站点与域之间没有一个绝对的关系，因为一个域中可以有一个或多个站点，而一个站点中又可以包括一个或多个域。如一个集团公司包括各个地方的多个子公司，而它们各自配置成不同的子网，之间是通过专线高速连接的，而且集团总部和各子公司网络组成一个域网络，这时这个总的集团公司域网络中就可以包括多个站点了，这些站点可以是集团总部以及各子公司。另一种情况是，一个大的公司，在同一个子网中部署了同一个域网络，但根据部门划分了不同的子域。这就是一个站点包括多个域的情况了。

可以将基于Active Directory的GPO链接到域、站点或部门以应用其设置。

同一个GPO可以链接到多个站点、域或组织单位。一个站点、域或组织单位又可以链接多个GPO，实现不同策略的设置。如果在链接的多个GPO中发生设置冲突，可以通过链接顺序来设置使用的优先级，默认常是按以下顺序应用设置：本地→站点→域→组织单位。

本地GPO

本地GPO是仅应用于本地计算机和本地用户账户的GPO。每个计算机上只存储一个本地GPO。运行Windows 2000、Windows XP Professional、Windows XP6 4-Bit Edition或Windows Server 2003操作系统的每台计算机都只有一个本地组策略对象。在这些对象中，组策略设置存储在各个计算机上，无论它们是否属于Active Directory环境或网络环境的一部分。本地组策略对象包含的设置要少于非本地组策略对象的设置，尤其是在"安全设置"下。本地组策略对象不支持"文件夹重定向"和"组策略软件安装"。本地组策略对象驻留在Systemroot\System32\GroupPolicy中。运行Windows NT 4.0或更低版本的计算机没有本地组策略对象，而且它们不能识别非本地的组策略对象。

本地GPO是Active Directory环境中影响力最小的GPO，因为基于Active Directory的GPO优先级更高。本地GPO包含的设置仅为基于Active Directory的GPO中找到的设置的一个子集。因为它的设置可以被与站点、域和组织单位相关联的组策略对象覆盖，所以在Active Directory环境中本地组策略对象的影响力最小。在非网络环境中（或在没有域控制器的网络环境中），本地组策略对象的设置相当重要，因为此时它们不会被其他组策略对象覆盖。

2．GPO优先级

如果多个GPO试图将某个设置设定为有冲突的值，则由具有最高优先级的GPO设定该设置。GPO处理基于最后写入者获胜模型（Last Writer Wins Model），之后处理的GPO比之前处理的GPO的优先级高。不同GPO中的组策略设置是按下列顺序处理的：本地GPO （LGPO）→站点GPO→域GPO→组织单位GPO（域控制器是最大的组织单位）→子组织单位GPO。对于嵌套的组织单位，先处理与父组织单位关联的GPO，然后再处理与子组织单位关联的GPO。

此顺序意味着，先处理本地GPO，最后处理链接到计算机或用户直接所属部门的GPO；如果最后的GPO 设置与先前的GPO设置有冲突，则它覆盖先前GPO中的设置；如果没有冲突，则合并先前和后面的设置。

基于链接顺序，按相反的顺序应用指向特定站点、域或部门的链接。例如，具有链接顺序1的GPO比链接到该容器的其他GPO的优先级都高。