分类: WINDOWS
2008-04-10 13:55:00
组策略设置定义了需要由系统管理员管理的用户桌面环境中的各种组件;例如,用户可以使用的程序、出现在用户桌面上的程序以及「开始」菜单选项。您指定的组策略设置包含在一个组策略对象 (GPO) 中,该组策略对象又与选定的 Active Directory 对象(站点、域或者组织单位 (OU))关联。
组策略不仅应用于用户和客户端计算机,而且还应用于在管理范围内的成员服务器、域控制器和任何其他 Windows Server 2003 计算机。默认情况下,应用于域的组策略(即,就在“Active Directory 用户和计算机”根目录上面的域级别应用)影响该域中的所有计算机和用户。“Active Directory 用户和计算机”还提供了内置的域控制器 OU。如果在此处保存您的域控制器帐户,则可以使用 GPO 默认域控制器策略,将域控制器与其他计算机分开进行管理。
GPO 链接到 Active Directory 中的站点、域和 OU 容器。默认的优先级顺序遵循 Active Directory 的分层结构特性:先是站点,然后是域,最后是每个 OU。一个 GPO 可以与多个 Active Directory 容器关联,或者说多个容器可以链接到一个 GPO。
可以使用 GPO 基于安全组成员身份来筛选对象,这样,管理员就可以按集中方式或分散方式来管理计算机和用户。为此,管理员可以使用基于安全组的筛选来定义组策略管理的作用域,以便在域级别集中应用组策略。也可以在 OU 级别按分散方式来应用组策略,然后再次按安全组对其进行筛选。管理员可以在组策略中使用安全组来执行以下操作:
| • |
筛选 GPO 的作用域。这定义了受 GPO 影响的用户和计算机组。 |
| • |
委派对 GPO 的控制。管理和委派组策略包括两个方面:管理组策略链接和管理创建和编辑 GPO 的人员。 |
可以使用几种管理工具来管理组策略设置,其中包括:
| • |
“组策略对象编辑器 Microsoft 管理控制台 (MMC)”管理单元
| ||
| • |
带有 Service Pack 1 的组策略管理控制台 (GPMC)
| ||
| • |
提供其他策略设置的第三方扩展 |
组策略包括影响用户的“用户配置”策略设置,以及影响计算机的“计算机配置”策略设置。
通过使用组策略,您可以执行以下操作:
| • |
使用“管理模板”管理基于注册表的策略。组策略创建一个包含注册表设置的文件,这些设置将写到注册表数据库的“User”或“Local Machine”部分。 |
| • |
分配脚本。这包括诸如计算机启动、关机、登录和注销之类的脚本。 |
| • |
重定向文件夹。您可以将“My Documents”和“My Pictures”等文件夹从本地计算机上的“Documents and Settings”文件夹重定向到网络位置。 |
| • |
管理应用程序。您可以通过使用“组策略软件安装”来分配、发布、更新或修复应用程序。 |
| • |
指定安全选项。 |
本文简要介绍“组策略”,并说明如何使用“组策略”管理单元来指定用户和计算机组的策略设置。
组策略通过 MMC 管理单元扩展机制与 Active Directory 管理工具直接集成在一起。Active Directory 管理单元设置了组策略管理的作用域。最常见的组策略访问方法是使用“Active Directory 用户和计算机”管理单元将管理作用域设置为域和 OU。您也可以使用“Active Directory 站点和服务”管理单元将管理作用域设置为站点。可以从“管理工具”程序组中访问这两个工具;这两个工具中都启用了“组策略”管理单元扩展。另外,也可以创建自定义的 MMC 控制台(如下一节所述)。
本文中的示例使用自定义的 MMC 控制台,您可以按照本节中所述的过程来创建该控制台。您需要先创建此自定义控制台,然后再尝试执行本文中的其他过程。
要配置自定义控制台,请按照以下步骤操作:
|
1. |
以“administrator@contoso.com”的身份登录到“HQ-CON-DC-01”上。 |
|
2. |
单击“开始”按钮,单击“运行”,键入“mmc”,然后单击“确定”。 |
|
3. |
在“控制台1”窗口中,单击“文件”,然后单击“添加/删除管理单元”。 |
|
4. |
在“添加/删除管理单元”对话框中,单击“添加”。 |
|
5. |
在“添加独立管理单元”对话框的“可用的独立管理单元”列表框中,单击“Active Directory 用户和计算机”,然后单击“添加”。 |
|
6. |
在“可用的独立管理单元”列表框中双击“Active Directory 站点和服务”管理单元。 |
|
7. |
向下滚动,然后双击“组策略对象编辑器”。 |
|
8. |
在“选择组策略对象”对话框中,确保选中了“组策略对象”下面的“本地计算机”。单击“完成”,然后单击“关闭”。 |
|
9. |
在“添加/删除管理单元”对话框中,单击“扩展”选项卡。确保为添加到 MMC 控制台中的每个主扩展选择了“添加所有扩展”复选框(它们是默认选中的)。单击“确定”。 |
要保存控制台更改,请按照以下步骤操作:
|
1. |
在 MMC 控制台中,单击“文件”,然后单击“保存”。 |
|
2. |
在“保存为”对话框的“文件名”文本框中,键入“GPWalkThrough”,然后单击“保存”。控制台应该如图 1 所示。  图 1. 组策略 MMC 控制台 |
您可以使用相应的 Active Directory 工具来访问组策略,但可以将焦点放在任何站点、域或 OU。
要从“Active Directory 站点和服务”中打开组策略,请按照以下步骤操作:
|
1. |
在“GPWalkthrough”MMC 控制台的控制台树中,单击“Active Directory 站点和服务”旁边的“+”号。 |
|
2. |
在控制台树中,单击“Sites”旁边的“+”号,然后右键单击“Default-First-Site-Name”。 |
|
3. |
单击“属性”,然后单击“组策略”选项卡。 |
|
4. |
单击“取消”。 |
要从“Active Directory 用户和计算机”中打开组策略,请按照以下步骤操作:
|
1. |
在“GPWalkthrough”MMC 控制台的控制台树中,单击“Active Directory 用户和计算机”旁边的“+”号。 |
|
2. |
在控制台树中,右键单击“contoso.com”以访问组策略。 |
|
3. |
单击“属性”,然后单击“组策略”选项卡。 |
|
4. |
单击“取消”。 |
要访问作用域为特定计算机(或本地计算机)的组策略,您必须在针对特定计算机(或本地计算机)的 MMC 控制台名称空间中加载“组策略”管理单元。出现这些差异主要有两个原因:
| • |
站点、域和 OU 可以链接多个 GPO;这些 GPO 需要使用中间的属性页来管理它们。 |
| • |
特定计算机的 GPO 存储在该计算机中,而不是存储在 Active Directory 中。 |
组策略设置包含在 GPO 中,这些 GPO 分别链接到选定的 Active Directory 对象(如站点、域或 OU)上。
要创建新的 GPO 并将其链接到“Headquarters”OU 上,请按照以下步骤操作:
|
1. |
在“GPWalkThrough”MMC 中,展开“Active Directory 用户和计算机”下面的“contoso.com”。 |
|
2. |
单击“Accounts”旁边的“+”号以展开该树。 |
|
3. |
右键单击“Headquarters”,然后单击“属性”。 |
|
4. |
在“Headquarters 属性”页上,单击“组策略”选项卡。 |
|
5. |
单击“新建”,键入“HQ Policy”,然后按“Enter”键。“Headquarters 属性”页如图 2 所示。  图 2. 链接到“Headquarters”OU 上的新 GPO |
上述步骤说明如何创建 GPO 并自动将其链接到某个 Active Directory 容器上,即“Headquarters”OU。然而,在定义 GPO 的各种设置之前,GPO 对用户或计算机并没有直接的影响。下一节说明如何编辑“HQ Policy”GPO 设置。
可以在任何 Active Directory 容器下面创建和/或链接多个 GPO。如果多个 GPO 与某个 Active Directory 容器关联,则必须确保 GPO 的顺序正确无误。GPO 在列表中的位置越高,其优先级越高,优先级最高的 GPO 在最后处理。(这就赋予它们一个较高的优先级。)
GPO 是对象;每个 GPO 都有用于查看其属性的上下文菜单。您可以使用上下文菜单来获取并修改有关 GPO 的常规信息。此信息包括自由访问控制列表 (DACL),并列出此 GPO 链接到的其他站点、域或 OU。
最佳做法:您可以通过安全组中的用户或计算机成员身份来进一步优化 GPO,方法是基于该成员身份来设置 DACL。有关使用 DACL 的信息,请参见“安全组筛选”一节。
要管理组策略,请按照以下步骤操作:
| • |
访问站点、域或 OU 的上下文菜单 | ||||||||||||||||||
| • |
选择“属性”,然后单击“组策略”选项卡。这将显示“组策略属性”页。 注意“组策略属性”页的以下事项。
|
您可以使用先前创建的“GPWalkThrough”自定义控制台来编辑 GPO。
要编辑 HQ Policy GPO,请按照以下步骤操作:
|
1. |
在“GPWalkThrough”MMC 控制台中,双击“HQ Policy”GPO(或突出显示它,然后单击“编辑”)。这将打开“组策略对象编辑器”供您用来编辑 HQ Policy。它应该如图 3 所示。 |
|
2. |
关闭“HQ Policy”的“组策略对象编辑器”。 |
要添加 GPO,请按照以下步骤操作:
|
1. |
在“Headquarters 属性”页的“组策略”选项卡中,单击“添加”。此时将出现“添加组策略对象链接”对话框,其中列出了当前与域/OU 和与站点关联的 GPO 或 Active Directory 结构内存在的所有 GPO。图 4 说明了此对话框。  图 4. 添加组策略对象链接 |
检查“添加组策略对象链接”对话框的以下组件,然后关闭该对话框。
| • |
“查找范围”下拉框,用于浏览整个 Active Directory 结构以查找某个 GPO。在更改此框中的值时,GPO 和所有子对象将显示在结果窗格中。 |
| • |
在“域/OUs”选项卡上,列表框将显示子 OU 及当前选定域或 OU 的 GPO。要浏览分层结构,请双击某个子 OU 或使用“向上一层”工具栏按钮。 |
| • |
在“站点”选项卡上,将显示与选定站点关联的所有 GPO。请使用下拉列表来选择其他站点。站点没有分层结构。 |
| • |
“全部”选项卡显示在选定域中存储的所有 GPO 的平面列表。如果您知道要选择的 GPO 的名称,但不知道其当前关联的位置,这种方法非常有用。这也是唯一用来创建没有站点、域或 OU 链接的 GPO 的地方。 |
| • |
要在“全部”选项卡上创建未链接的 GPO,请选择“创建新的组策略对象”工具栏按钮,或者右键单击空白部分,然后单击“新建”。命名新的 GPO,按“Enter”键,然后单击“取消”;不要单击“确定”。如果单击“确定”,则会将新 GPO 链接到当前站点、域或 OU。单击“取消”将创建未链接的 GPO。 |
| • |
要将某个 GPO 与当前选定的域或 OU 关联,请双击所需的 GPO。 |
注意:两个或多个 GPO 可以具有相同的名称。这是设计使然,由于 GPO 实际上是作为全局唯一标识符 (GUID) 进行存储的,因而可能会出现这种情况。所示的显示名称实际上是在 Active Directory 中存储的友好名称。
可通过“管理模板 (.adm)”文件来访问基于注册表的策略的用户界面。这些文件描述了在“组策略”管理单元的“管理模板”节点中显示的用户界面。这些文件的格式与 Microsoft Windows NT®4.0 中的系统策略编辑器工具 (Poledit.exe) 使用的 .adm 文件兼容。在 Windows Server 2003 中,已经扩展了基于注册表的策略中的可用选项。
注意:虽然可以将任何 .adm 文件添加到 GPO 中,但如果您使用旧版本 Windows 中的 .adm 文件,则这些注册表项在 Windows Server 2003 中无效。
默认情况下,只显示在批准的组策略树上存在的已加载 .adm 文件中定义的那些策略设置;这些设置称为“真正的策略”。这意味着,“组策略”管理单元不 显示 .adm 文件中描述的某些项:这些项在“组策略”树以外 设置注册表项;这些项称为组策略首选项。首选项用红色图标表示以区别于真正的策略,真正的策略用蓝色图标表示。批准的组策略树为:
| • |
\Software\Policies |
| • |
\Software\Microsoft\Windows\CurrentVersion\Policies |
注意:由于以前提到的永久性注册表设置行为,强烈建议不要在组策略结构中使用非策略项。要在 Windows NT 4.0、Windows 95 和 Windows 98 客户端上设置注册表策略,请使用 Windows NT 4.0 系统策略编辑器工具 Poledit.exe。
默认情况下会加载 conf.adm、inetres.adm、system.adm、wmplayer.adm 和 wuau.adm 文件,这些文件可用于图 5 所示的配置。
图 5. 用户配置
默认 .adm 文件提供以下配置选项。
| • |
Conf.adm:NetMeeting 设置 |
| • |
Inetres.adm:Internet Explorer 设置 |
| • |
System.adm:操作系统设置 |
| • |
wmplayer.adm:Windows Media Player 设置 |
| • |
wuau.adm:Windows Update 设置 |
管理模板(.adm 文件)包含由类别和子类别组成的分层结构,这些类别和子类别共同定义了在“组策略”用户界面中组织选项的方式。
要添加管理模板(.adm 文件),请按照以下步骤操作:
|
1. |
在“Headquarters 属性”页上,双击“HQ Policy”GPO。 |
|
2. |
在“用户配置”或“计算机配置”下面,右键单击“管理模板”,然后单击“添加/删除模板”。这将显示此 Active Directory 容器的当前活动模板文件的列表。 |
|
3. |
单击“添加”。这将显示正在运行组策略的计算机上 %systemroot%\inf 目录中的可用 .adm 文件的列表。您可以从另一个位置选择 .adm 文件。选定后,.adm 文件就可用于 GPO 内进行的配置了。 |
|
4. |
单击“取消”,然后单击“关闭”。(在这些练习中将不添加任何管理模板。) |
以下步骤提供了一个简单示例,它使用管理模板从用户桌面中删除“运行”命令。您应该熟悉“管理模板”中提供的所有可用设置。本系列中的其他分步指南将使用“管理模板”中的可用设置。
要使用管理模板设置基于注册表的设置,请按照以下步骤操作:
|
1. |
在“HQ Policy”GPO 的组策略对象编辑器中,单击“用户配置”节点中“管理模板”旁边的“+”号。 |
|
2. |
单击“任务栏和「开始」菜单”。注意,详细信息窗格将所有策略显示为“未被配置”。 |
|
3. |
在右窗格中,双击“从「开始」菜单中删除‘运行’菜单”策略。 |
|
4. |
在“从「开始」菜单中删除‘运行’菜单”对话框中,单击“已启用”(如图 6 所示)。单击“确定”以完成操作。  图 6. 从「开始」菜单中删除“运行”菜单 |
请注意对话框中的“上一设置”和“下一设置”按钮。您可以使用这些按钮来浏览详细信息窗格以设置其他策略的状态。您也可以将此对话框保持打开,并在“组策略”管理单元详细信息窗格中单击另一个策略。在详细信息窗格获得焦点后,您可以使用键盘上的上箭头键和下箭头键并按“Enter”键,快速浏览选定节点中每个策略的设置(或“说明”选项卡)。
注意,详细信息窗格的“设置”列中状态变为“已启用”。这一变化是即刻发生的;它已保存到 GPO 中。如果您处于一个复制的域控制器环境中,则此操作设置的标记将触发一个复制周期。
如果您以“Headquarters”OU 中的用户身份登录到“contoso.com”域中的某个工作站,则会注意到“运行”菜单已删除。
注意:此时,您可能想试用其他的可用策略。请查看“说明”选项卡中的文本,了解每个策略的相关信息。
您可以定义一个在用户登录或注销或者系统启动或关机时运行脚本的 GPO 设置。所有脚本都支持 Windows Scripting Host (WSH)。因此,它们可能包括 Java 脚本或 Microsoft Visual Basic® 脚本以及 .bat 和 .cmd 文件。
注意:此过程使用附录中描述的“welcome.js”脚本。创建一个“Included Items”文件夹,然后在“Included Items”文件夹中通过复制本指南附录中的脚本来创建文件“welcome.js”。
要定义登录脚本组策略设置,请按照以下步骤操作:
|
1. |
关闭“HQ Policy”的“组策略对象编辑器”。 |
|
2. |
在“Headquarters 属性”对话框中,单击“关闭”。 |
|
3. |
在“GPWalkthrough”控制台中,右键单击“contoso.com”域,单击“属性”,然后单击“组策略”选项卡。 |
|
4. |
在“组策略属性”页上,从“组策略对象链接”列表中选择“Default Domain Policy”GPO,然后单击“编辑”以打开“组策略对象编辑器”管理单元。 |
|
5. |
在“组策略”管理单元的“用户配置”下面,单击“Windows 设置”旁边的“+”号,然后单击“脚本(登录/注销)”节点。 |
|
6. |
在详细信息窗格中,双击“登录”。 此时将出现“登录属性”对话框,并显示在指定用户登录时运行的脚本的列表。这是一个有序列表,最先运行的脚本位于列表的顶部。您可以通过选择某个脚本,然后使用上箭头键或下箭头键来更改顺序。 要将新脚本添加到列表中,请单击“添加”按钮。这将显示“添加脚本”对话框。通过从此对话框进行浏览,您可以指定位于当前 GPO 中的现有脚本的名称,或者浏览到另一个位置并选择它以便在该 GPO 中使用。登录用户必须能够访问脚本文件,否则该文件不会运行。该用户自动可以使用当前 GPO 中的脚本。要创建新的脚本,请右键单击空白区域,选择“新建”,然后选择一个新文件。 要编辑列表中现有脚本的名称或参数,请选择该脚本,然后单击“编辑”按钮。此按钮不允许对脚本本身进行编辑。要编辑脚本,请使用“显示文件”按钮。要从列表中删除脚本,请选择该脚本,然后单击“删除”。 “显示文件”按钮显示 GPO 脚本的 Windows 资源管理器视图。这样,您就可以快速访问这些文件,或访问将支持文件复制到的地方(如果脚本文件需要的话)。如果从此位置更改脚本文件名称,您还必须使用“编辑”按钮来更改文件名称,否则,脚本无法执行。 注意:如果将此文件夹的“查看文件夹选项”设置为“隐藏已知文件类型的扩展名”,则文件可能具有多余的扩展名,而使之无法运行。 |
|
7. |
单击“开始”按钮,单击“所有程序”,单击“附件”,然后单击“Windows 资源管理器”。浏览到“Included Items”目录中的“welcome2000.js”文件,右键单击该文件,然后单击“复制”。 |
|
8. |
关闭“Windows 资源管理器”。 |
|
9. |
在“登录属性”对话框中,单击“显示文件”按钮,将“welcome.js”脚本粘贴到默认文件位置。它应该如图 7 所示。 |
|
10. |
关闭包含“welcome.js”的窗口。 |
|
11. |
在“登录属性”对话框中,单击“添加”。 |
|
12. |
在“添加脚本”对话框中,单击“浏览”。在“浏览”对话框中,双击“welcome.js”文件。 |
|
13. |
在“添加脚本”对话框中,单击“确定”(不需要任何脚本参数),然后再次单击“确定”。 |
|
14. |
关闭“组策略对象编辑器”。 |
|
15. |
在“contoso.com 属性”页上,单击“取消”。 |
“contoso.com”的任何成员都可以立即使用此脚本,因为它是在“Default Domain Policy”内定义的。您可以登录到客户端工作站以验证在用户登录时是否运行该脚本。
您可以使用“创建登录脚本”一节中所述的过程,设置在用户注销或计算机启动或关机时运行的脚本。对于注销脚本,您应该在“创建登录脚本”的第 6 步中选择“注销”。对于计算机启动或关机脚本,请在“组策略对象编辑器”中切换到“计算机配置 – Windows 设置 – 脚本(启动/关机)”。
默认情况下,在命令窗口中运行的组策略脚本(如 .bat 或 .cmd 文件)隐藏运行,而在处理旧版脚本(在用户对象中定义的脚本)时默认显示这些脚本,但可以使用一项组策略设置来更改此可见性。此用户策略称为“以可见形式运行登录脚本”或“显示注销脚本的运行状态”,可以在“系统\脚本”下面的“用户配置\管理模板”节点中访问该策略。对于计算机,此策略为“显示启动脚本的运行状态”和“显示关机脚本的运行状态”,可以在“系统\脚本”下面的“计算机配置\管理模板”节点中访问该策略。
您可以通过指定所选 GPO 应用于安全组的方式,优化任何 GPO 对用户或计算机产生的影响。为此,请使用 GPO“属性”页上的“安全”选项卡来设置 DACL。主要出于性能方面的原因使用 DACL,但此功能在设计和部署 GPO 及其包含的策略方面具有非常大的灵活性。
默认情况下,GPO 影响链接的站点、域或 OU 中包含的所有用户和计算机。通过使用 DACL,可以修改任何 GPO 的影响以排除或包含任何安全组的成员。
要基于安全组成员身份来筛选 GPO 应用,请按照以下步骤操作:
|
1. |
在“GPWalkthrough”控制台的“Accounts”OU 中,右键单击“Headquarters”OU,然后单击“属性”。 |
|
2. |
在“Headquarters 属性”对话框中,单击“组策略”选项卡。 |
|
3. |
右键单击“组策略对象链接”列表中的“HQ Policy”GPO,然后从上下文菜单中选择“属性”。 |
|
4. |
在“属性”页上,单击“安全”选项卡。 |
|
5. |
在“安全”属性页上,单击“添加”。 |
|
6. |
在“选择用户、计算机或组”对话框的“输入对象名称来选择”中,键入“Management”,然后单击“确定”。 |
|
7. |
在“HQ Policy 属性”页上的“安全”选项卡中,选择“Management”组并查看权限。 注意:默认情况下,仅将“Management”组的“读取”访问控制项 (ACE) 设置为“允许”。这意味着,“Management”组成员没有应用此 GPO,除非他们还是另一个组的成员(默认情况下,他们还是“Authenticated Users”的成员)— 该组选定了“应用组策略”ACE。 此时,“Authenticated Users”组中的每个成员 都应用了此 GPO,包括“Management”安全组的成员,如图 8 所示。  图 8. Authenticated Users |
要将 GPO 配置为仅适用于“Management”组的成员,请按照以下步骤操作:
|
1. |
为“Management”组选择“应用组策略”ACE 的“允许”复选框。 |
|
2. |
为“Authenticated Users”组清除“应用组策略”ACE 的“允许”复选框。 注意:通过更改应用于各个组的 ACE,管理员可以自定义一个 GPO 影响它所制约的用户或计算机的方式。要进行修改,您需要拥有写入访问权限;要将策略应用于组,您需要“读取”和“应用组策略”两个 ACE。 |
要拒绝将 GPO 应用于“Management”组成员,请按照以下步骤操作:
注意:使用“拒绝”ACE 时一定要谨慎。任何组的“拒绝”ACE 设置都优先于为用户或计算机指定的任何“允许”ACE,因为它是另一个组的成员。有关此交互的更多信息,请参见 Windows 2000 Server 联机帮助并搜索“安全组”。
|
1. |
为“Management”组清除“应用组策略”ACE 的“允许”复选框,并选择“拒绝”复选框。 |
|
2. |
为“Authenticated Users”组选择“应用组策略”ACE 的“允许”复选框。 图 9 显示了一个安全设置的示例,它允许“Management”组成员以外的所有其他成员受此 GPO 的影响,不允许“Management”组成员受其影响是因为它们被明确拒绝了此 GPO 的权限。如果某个“Management”组成员还是另一个组的成员,而该组具有“应用组策略”ACE 的明确“允许”设置,则“拒绝”设置优先并且该 GPO 不会影响该用户。  图 9. 基于组成员身份来指派“拒绝”GPO |
|
3. |
单击“确定”,然后单击“是”,确认有关使用“拒绝”ACL 的警告。 |
|
4. |
单击“确定”关闭“Headquarters 属性”页。 |
此过程的变化可能包括:
| • |
添加其他具有不同策略集的 GPO,并将它们仅应用于“Management”以外的组。 |
| • |
使用现有组成员在其中创建另一个组,然后将这些组用作某个 GPO 的筛选器。 |
注意:您可以将这些类型的安全选项用于上一部分设置的登录脚本。您可以将脚本设置为仅为特定组的成员运行,或者为特定组成员以外的所有其他成员运行。
安全组筛选具有两个功能:第一个功能是修改受特定 GPO 影响的组;第二个功能是委派可修改 GPO 内容的管理员组,限制“完全控制”权限,仅将其授予一组有限的管理员(按组)。第二个功能是推荐功能,因为它可以减少多个管理员同时进行更改的可能性。
通常,将组策略从域内的父容器向下传递到子容器。子域不能从父域继承组策略。如果为高级父容器指派特定的组策略设置,该组策略设置适用于父容器下面的所有容器,其中包括每个容器中的用户和计算机对象。然而,如果您为子容器明确指定了一个组策略设置,则子容器的组策略设置替代父容器的设置。
如果父 OU 具有未配置的策略设置,则子 OU 不继承这些设置。如果策略设置被禁用,则继承的策略设置也被禁用。此外,如果为父 OU 配置了策略设置(已启用或禁用),但没有为子 OU 配置相同的策略设置,则子 OU 继承父 OU 已启用或禁用的策略设置。
如果应用于父 OU 的策略设置和应用于子 OU 的策略设置兼容,则子 OU 继承父 OU 的策略设置,并且子 OU 的设置也会被应用。
如果为父 OU 配置的策略设置与为子 OU 配置的相同策略设置不兼容(因为在一个 OU 中启用该设置,而在另一个 OU 中禁用该设置),则子 OU 不从父 OU 继承策略设置。子 OU 中的策略设置将被应用。
“阻止策略继承”选项阻止在站点、域和 OU 的 Active Directory 分层结构中较高位置应用的 GPO。如果 GPO 启用“禁止替代”,则它不会阻止这些 GPO。“阻止策略继承”选项仅在站点、域和 OU 上设置,而不在各个 GPO 上设置。这些设置提供对默认继承规则的完全控制。
在下一节中,您将在“Accounts”OU 中建立一个 GPO,默认情况下,它应用于“Accounts”OU 内所有子对象中的用户(和计算机)。然后,您在“Accounts”OU 中建立另一个 GPO,并将其设置为“禁止替代”。这些设置将应用于所有子对象,即使设置与通过 GPO 应用的其他设置冲突也无妨。然后,您使用“阻止继承”功能禁止将父站点、域或 OU(此处为“Accounts”OU)中设置的组策略应用于“Production”OU。
要创建新的 GPO,请按照以下步骤操作:
|
1. |
在“GPWalkthrough”MMC 中的“contoso.com”下面,右键单击“Accounts”OU。 |
|
2. |
单击“属性”,然后单击“组策略”选项卡。 |
|
3. |
单击“新建”,输入“Default User Policies”作为 GPO 名称,然后按“Enter”键。 |
|
4. |
再次单击“新建”,输入“Enforced User Policies”作为 GPO 名称,然后按“Enter”键。 |
|
5. |
单击“Enforced Users Policies”GPO,然后单击“向上”按钮将其移到列表的顶部。 注意:“Enforced Users Policies”GPO 应该具有最高的优先级。注意,此步骤仅用于说明“向上”按钮的功能;强制实施的 GPO 始终优先于未强制实施的 GPO。 |
|
6. |
通过双击“禁止替代”列或使用“选项”按钮,为“Enforced User Policies”GPO 选择“禁止替代”设置。此时“Accounts 属性”页应该如图 10 所示。  图 10. 设置了“禁止替代”的 Enforced User Policies |
要在“Enforced User Policies”和“Default User Policies”GPO 中启用设置,请按照以下步骤操作:
|
1. |
在“Accounts 属性”页上,双击“Enforced User Policies”GPO。 |
|
2. |
在“组策略对象编辑器”的“用户配置”下面,展开“管理模板”。 |
|
3. |
展开“系统”,然后单击“Ctrl+Alt+Del 选项”。 |
|
4. |
在详细信息窗格中,双击“删除‘任务管理器’”策略,在“删除‘任务管理器’”对话框中单击“已启用”,然后单击“确定”。有关此策略的更多信息,请单击“说明”选项卡。此设置现在为“已启用”,如图 11 所示。  图 11. 禁用任务管理器 |
|
5. |
单击“文件”,然后单击“退出”以关闭“组策略对象编辑器”。 |
|
6. |
在“Accounts 属性”对话框的“组策略”选项卡上,在“组策略对象链接”列表中双击“Default User Policies”GPO。 |
|
7. |
在“组策略对象编辑器”的“用户配置”下面,展开“管理模板”,展开“桌面”,然后单击“Active Desktop”。 |
|
8. |
在详细信息窗格中,双击“禁用 Active Desktop”策略。 |
|
9. |
单击“已启用”,单击“确定”,然后再次单击“确定”。 |
|
10. |
单击“文件”,然后单击“退出”以关闭“组策略对象编辑器”。 |
如果以“Accounts”OU(包括子 OU)下面的任何用户的身份登录到客户端工作站,就会同时应用“Default User”和“Enforced User”GPO。任务管理器和 Active Desktop 均将被禁用。
提高 GPO 的性能
因为这些 GPO 仅用于用户配置,所以可以禁用 GPO 的计算机部分。禁用计算机配置设置可缩短目标计算机的启动时间,因为不需要对计算机 GPO 进行评估。
如果“Accounts”或任何子 OU 内没有计算机,则禁用 GPO 的计算机部分不会给性能带来明显的改善。但是,因为这些 GPO 以后可能会链接到其他容器上,而该容器可能会包含计算机,所以您可能希望禁用这些 GPO 的计算机端。
要禁用 GPO 的计算机部分,请按照以下步骤操作:
|
1. |
在“Accounts 属性”对话框中,右键单击“Enforced User Policies”GPO,然后选择“属性”。 |
|
2. |
在“Enforced User Policies 属性”对话框中,单击“常规”选项卡(默认),然后选择“禁用计算机配置设置”复选框。在“确认禁用”对话框中,单击“是”,然后单击“确定”以完成操作。 注意,“常规”属性页包含两个用于禁用 GPO 部分的复选框。 |
|
3. |
对于“Default Users Policies”GPO,重复步骤 1 和 2。 |
阻止继承
您可以禁止继承,以使一个 GPO 不能从分层结构中的另一个 GPO 继承策略。以下示例说明如何阻止继承来使只有“Enforced User Policies”中的设置影响此 OU 中的用户。
要阻止“Production”OU 继承组策略,请按照以下步骤操作:
|
1. |
在“Accounts 属性”对话框中,单击“关闭”。 |
|
2. |
在“GPWalkThrough”控制台中的“Accounts”OU 下面,右键单击“Production”OU,在上下文菜单中选择“属性”,然后单击“组策略”选项卡。 |
|
3. |
选择“阻止策略继承”复选框,然后单击“确定”。 |
要验证现在是否阻止了继承的设置,您可以使用“Production”OU 中的任何用户的身份登录。注意,现在 Active Desktop 是可用的,但任务管理器仍然被禁用,因为,在父 OU 中,其禁用 GPO 设置被设置成了“禁止替代”。
本节说明如何将某个 GPO 链接到 Active Directory 中的多个容器(站点、域或 OU)。根据具体的 OU 配置,您可以使用其他方法来达到类似的组策略效果;例如,您可以使用安全组筛选,也可以阻止继承。但是,在某些情况下,这些方法不能获得预期效果。每当您需要明确说明哪些站点、域或 OU 需要相同的一组策略时,请使用以下方法。
要将某个 GPO 链接到多个站点、域和 OU,请按照以下步骤操作:
|
1. |
在“GPWalkThrough”控制台中的“Accounts”OU 下面,右键单击“Headquarters”OU,在上下文菜单中选择“属性”,然后单击“组策略”选项卡。 |
|
2. |
在“Headquarters 属性”对话框的“组策略”选项卡上,单击“新建”以创建一个名为“Linked Policies”的新 GPO。 |
|
3. |
选择“Linked Policies”GPO,然后单击“编辑”。 |
|
4. |
在“组策略对象编辑器”的“用户配置”和“管理模板”下面,单击“控制面板”,然后单击“显示”。 |
|
5. |
在详细信息窗格上,双击“阻止更改墙纸”策略,然后单击“已启用”。单击“确定”以继续。 |
|
6. |
单击“文件”,然后单击“退出”以关闭“组策略对象编辑器”。 |
|
7. |
在“Headquarters 属性”页中,单击“关闭”。 |
|
8. |
在“GPWalkThrough”控制台中的“Accounts”OU 下面,右键单击“Production”OU,在上下文菜单中单击“属性”,然后在“Production 属性”对话框中单击“组策略”选项卡。 |
|
9. |
单击“添加”,或者用右键单击“组策略对象链接”列表中的空白区域,然后在上下文菜单中选择“添加”。 |
|
10. |
在“添加组策略对象链接”对话框中,单击“查找范围”框上的下箭头键,然后选择“Accounts.contoso.com”OU。 |
|
11. |
双击“域、OU 和链接的组策略对象为”列表中的“Headquarters.Accounts.contoso.com”OU。 |
|
12. |
单击“Linked Policies”GPO,然后单击“确定”。 |
|
13. |
单击“确定”以完成操作。 |
现在,您已将单个 GPO 链接到两个 OU 上。如果在这两个位置中的任一位置对 GPO 进行更改,都会导致同时更改两个 OU。
环回提供了一种替代方法,它替代获取“用户配置”设置影响某个用户的 GPO 的有序列表的默认方法。默认情况下,用户设置来自于 GPO 列表,该列表取决于用户在 Active Directory 中的位置。有序列表的排列顺序为:首先是站点链接的 GPO,然后是域链接的 GPO,最后是 OU 链接的 GPO;其继承是由用户在 Active Directory 中的位置以及管理员在每个级别指定的顺序决定的。
与任何其他组策略设置一样,可以将环回设置为“未配置”、“已启用”或“已禁用”。在“已启用”状态下,可以将环回设置为“合并”或“替换”。
| • |
使用替换的环回 用户的 GPO 列表全部由在计算机启动时已为计算机获取的 GPO 列表替换。此列表中的“用户配置”设置应用于该用户。 |
| • |
使用合并的环回 GPO 列表是 GPO 的串联。计算机的默认 GPO 附加到用户的默认 GPO 后面;用户从串联列表中获取“用户配置”设置。注意,为计算机获取的 GPO 列表是在用户的列表之后应用的;因此,如果它与用户的列表中的设置有冲突,则它优先于用户的列表中的设置。 |
要启用环回处理,请按照以下步骤操作:
|
1. |
在“GPWalkThrough”控制台中,展开“Resources”OU,右键单击“Desktops”OU,在上下文菜单中单击“属性”,然后在“Desktops 属性”对话框中单击“组策略”选项卡。 |
|
2. |
单击“新建”以创建名为“Loopback Policies”的新 GPO。 |
|
3. |
选择“Loopback Policies”GPO,然后单击“编辑”。 |
|
4. |
在“组策略对象编辑器”的“计算机配置”节点中,展开“管理模板”,展开“系统”,然后单击“组策略”。 |
|
5. |
在详细信息窗格中,双击“用户组策略环回处理模式”策略。 |
|
6. |
在“用户组策略环回处理模式”对话框中单击“已启用”,在“模式”下拉列表中选择“替换”(默认),然后单击“确定”。 |
下一节为用户的“任务栏和「开始」菜单”以及“桌面”环境定义一些在展台方案中可能应用的限制性设置。要有效地浏览策略,请使用“策略”对话框中的“下一设置”浏览按钮。
要定义限制性的“任务栏和「开始」菜单”环境,请按照以下步骤操作:
|
1. |
在“组策略对象编辑器”的“用户配置”节点中,展开“管理模板”,然后单击“任务栏和「开始」菜单”。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
2. |
在下面的每个策略的对话框中,如表中所示来设置策略状态。
|
定义限制性的桌面环境
|
1. |
在“组策略对象编辑器”的“用户配置”和“管理模板”下,单击“桌面”。 | ||||||||||||||||||||||||||||||||||||||||||||||||
|
2. |
在下面的每个策略的对话框中,如表中所示来设置策略状态。
| ||||||||||||||||||||||||||||||||||||||||||||||||
|
3. |
在设置完所有的策略后,单击“确定”。 | ||||||||||||||||||||||||||||||||||||||||||||||||
|
4. |
在“组策略对象编辑器”中,浏览到“用户配置\管理模板\桌面”下面的“Active Desktop”节点,将“禁用 Active Desktop”策略设置为“已启用”,然后单击“确定”。 | ||||||||||||||||||||||||||||||||||||||||||||||||
|
5. |
在“组策略对象编辑器”中,浏览到“用户配置\管理模板”下面的“控制面板”节点,然后单击“添加/删除程序”节点。双击“禁用添加/删除程序”策略,并将其设置为“已启用”,然后单击“确定”。 | ||||||||||||||||||||||||||||||||||||||||||||||||
|
6. |
在“组策略对象编辑器”中,浏览到“用户配置\管理模板”下面的“控制面板”节点,然后单击“显示”节点。双击“删除‘控制面板’中的‘显示’”策略,并将其设置为“已启用”,然后单击“确定”。 | ||||||||||||||||||||||||||||||||||||||||||||||||
|
7. |
在“组策略对象编辑器”中,单击“文件”,然后单击“退出”。 | ||||||||||||||||||||||||||||||||||||||||||||||||
|
8. |
在“Desktops 属性”对话框中,单击“确定”。 |
登录到“Desktops”OU 中的计算机上的所有用户都没有通常所应用的策略;相反他们拥有在“Loopback Policies”GPO 中定义的用户策略。您可以使用“安全组筛选”一节中描述的过程,将这种行为限定到特定计算机组,具体方法就是先创建一个安全组,然后拒绝将 GPO 应用于该安全组。
// Script Sample for Windows Scripting Host
//
// Define constant values.
//
var MB_ICONINFORMATION = 0x40;
var MB_ICONQUESTION = 0x20;
var MB_ICONYESNO = 0x04
var IDYES = 6;
var IDTIMEOUT = -1;
var POPUP_WAIT = 5; // close popup after 5 seconds.
//
// Create ActiveX Controls
//
var Shell = WScript.CreateObject("WScript.Shell")
var Env = Shell.Environment("PROCESS")
//
// Set greeting message.
//
var strTitle = "Sample Login Script";
var strMsg = "Welcome \"" + Env("UserName")
strMsg += "\" to the \"" + Env("UserDomain") + "\" domain\r\n\r\n"
Shell.Popup(strMsg, POPUP_WAIT, strTitle, MB_ICONINFORMATION);
//
// Launch Internet Explorer if user wants.
//
strMsg = "Do you want to visit the Windows Server 2003 web site?";
var strURL;
strURL = "";
var intAnswer = Shell.Popup(strMsg,
POPUP_WAIT,
strTitle,
MB_ICONQUESTION | MB_ICONYESNO );
if (intAnswer == IDYES) {
Shell.Run(strURL);
}