分类: 系统运维
2011-10-19 19:29:42
组策略设置主要包括:用户计算机环境(如开始菜单、桌面快捷项、控制面板选项、可用程序等)、计算机和用户的本地或者网络访问权利,以及其他安全控制策略(如组策略中的各种安全选项、IP安全策略等)。可用组策略定义用户和计算机组的配置,如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及IE的维护指定策略设置。创建的组策略设置包含在组策略对象(GPO)中,通过将GPO与所选的Active Directory系统容器——站点、域和组织单位相关联,实现组策略设置的具体应用。还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。
组策略可基于活动目录中的用户和计算机帐户两种对象分别予以配置,所以在GPO中的组策略设置项中包括“计算机配置”和“用户配置”两大部分(如图10-1所示),这就是组策略的基本结构。而且我们可以看到,在这两大部分中,有许多设置项是相同的,如都有“软件设置”、“Windows设置”和“管理模板”等这几部分,而且在这些部分中,又有许多相同的子设置选项。我们知道,“计算机配置”是针对计算机对象而言的,“用户配置”是针对用户对象而言的,而用户配置又是通过计算机来应用的,这就存在一个可能两者的相同选项设置不一致,有冲突的问题,这时又该应用哪个设置呢?根据组策略规定,当两者的配置有冲突时,最终以计算机策略为依据。
图10-1 组策略编辑器中的两部分策略设置项
组策略不仅应用于用户和客户端计算机,还应用于成员服务器、域控制器以及管理范围内的任何其他Windows 2000计算机。组策略对象(GPO)的创建的最大容器是域,最小容器是组织单位(OU),当然可以为各级OU创建不同的GPO。不能为特定的计算机或者用户创建单独的GPO。应用于域(即在域级别应用,刚好在“Active Directory用户和计算机”(ADUC)控制台的根目录之上)的组策略(也就是“域组策略”)会影响域中的所有计算机(包括域控制器)和用户。默认的域组策略是Default Domain Policy 。ADUC还提供内置的“Domain Controllers”(域控制器)组织单位(域控制器是域网络中最大的组织单位),默认使用的组策略对象是“Default Domain Controllers Policy”。域控制器组策略应用于域网络中的所有域控制器,将域控制器策略与其他计算机策略分开管理。
本文摘自《金牌网管师——中小型企业网络组建、配置与管理)》第七章
