谁能帮我详细解释一下?越容易理解越好。我很笨。
微软管理控制台(MMC)中的组策略编辑器(GPE)插件相当于NT 4.0中的系统策略编辑器poledit.exe。GPE的每个功能节点(如软件设置、窗口设置、管理模块等。)是MMC插件的扩展。MMC插件中的扩展是一个可选的管理工具。如果您是应用程序开发人员,您可以通过定制的扩展来扩展GPO的功能,从而为您的应用程序提供额外的策略控制。
只有运行Win2K的系统才能执行组策略,而运行NT 4.0和Windows 9x的客户端无法识别或运行带有AD架构的GPO。
第二,集团政策和广告
要充分发挥GPO的功能,需要AD域架构的支持。有了AD,可以定义一个集中的策略,所有Win2K服务器和工作站都可以采用。但是,每台运行Win2K的计算机都有一个本地GPO(驻留在本地计算机文件系统上的GPO)。通过本地GPO,您可以为每个工作站指定一个策略,这在AD域中不起作用。例如,出于安全原因,您不会在AD域中配置公共计算机。使用本地GPO,您可以通过修改本地策略来获得安全性并限制桌面的使用,而无需使用基于AD域的GPO。有两种方法可以访问本地GPO。1的方法是在需要修改GPO的计算机的开始菜单上选择运行,然后键入:gpedit.msc
该操作与NT 4.0中的poledit.exe功能相同,可以打开本地策略文件。第二种方法是手动编辑本地GPO,方法是在MMC控制台中选择GPE插件,然后选择本地或远程计算机。
本地GPO支持除软件安装和文件夹重定向之外的所有默认扩展。因此,仅使用本地GPO无法完成这些任务。要想充分发挥GPO的功能,还是需要AD的支持。
第三,GPO的多样性和继承性
在AD中,GPO可以在三个不同的级别上定义:域、组织单位(OU)或地址。OU是AD中的一个容器,可以分配它来管理用户、组、计算机和其他对象。地址是网络上子网的集合,地址形成AD的复制边界。GPO的命名空间分为两类:计算机配置和用户配置。只有用户和计算机可以使用GPO,比如打印机对象甚至用户组。
在域或组织单位(OU)中编辑策略有多种方法。在Active Directory用户或计算机的MMC插件中,右键单击域或组织单位(OU),从菜单中选择属性,然后选择组策略选项卡。在地址中编辑策略时,您需要右键单击Active Directory地址和服务插件,然后右键单击所需的地址以获取其GPO。另外,你也可以从开始菜单中选择运行,然后键入:mmc.exe启动MMC,选择控制台,添加/删除插件,然后选择组策略插件并浏览,AD域中的GPO就会显示出来,你可以选择一个GPO进行编辑。
根据GPO在AD命名空间中的位置,可能有几个GPO作用于用户对象或计算机对象。只有当域中的其他对象由继承生成时,GPO才由继承生成。Win2K以下列方式执行GPO。首先,操作系统执行本地系统上的现有策略。然后,Win2K执行定义的地址级GPO、域级GPO和基于OU的GPO。微软将这种优先级顺序缩写为LSDOU(依次为本地、地址、域和OU级别的GPO)。用户可以在这个链中的许多级别定义GPO。让我们以pilot域为例来说明如何查看系统中的GPO。启动Active Directory用户和计算机的MMC工具,右键单击pilot域名,从菜单中选择“属性”项,然后选择组策略选项卡。此列表顶部的GPO(如全域性安全策略)具有最高优先级,因此Win2K将最后执行它。除了本地系统,你还可以在每一级定义几个GPO,这样如果不能严格管理GPO,就会出现不必要的问题。
GPO的继承模式与Novell的Zenworks策略完全不同。在Zenworks中,如果在Novell目录服务(NDS)树上的不同点使用多个策略包,则只有最接近用户对象的策略包才起作用。在Win2K中,如果在AD的不同级别定义了四个GPO,操作系统将使用“LSDOU”优先级来实现这些策略,这将是计算机或用户的四个策略的“总和”。此外,有时一个GPO中的设置会被其他GPO中的设置抵消。通过AD级GPO,用户可以有更多的策略控制委托。例如,公司的安全部门负责在域级别为所有系统设备设计一个安全GPO。通过使用GPO,OU的系统管理员可以有权在OU上安装软件。在Zenworks模型中,策略必须在您希望使用它们的所有级别上复制,策略对用户或计算机对象的影响不是所有策略的“总和”。
为了进一步控制GPO,微软提供了三种设置来限制GPO继承的复杂性。在地址、域和OU级别,用户可以通过选中复选框来防止从更高级别继承。同样,在每个级别,用户可以选择默认域策略选项,方法是打开Active Directory用户和计算机插件,右键单击GPO所在的域或OU,从菜单中选择属性,然后选择组策略选项卡。突出显示要修改的项目,然后选择“选项”按钮。可用选项有“不覆盖”或“禁止”。如果选择了“不覆盖”选项,即使选中了“不能被继承”复选框,GPO仍将工作。如果你想在任何地方执行GPO,这个函数非常有用。如果OU的管理员试图阻止安全策略的继承,包含安全策略的GPO仍然会被系统执行。“禁止”复选框可以完全禁止GPO执行,这在您编辑GPO并且不希望其他用户执行它时特别有效。
第四,GPO的实现和过滤
只有用户和计算机对象可以执行组策略。Win2K在计算机启动和关机时执行GPO的计算机配置部分定义的策略,在用户登录和注销时执行GPO的用户配置部分定义的策略。事实上,有些策略可以在用户登录时手动执行,例如,可以在命令行模式下运行secedit.exe程序来执行安全策略应用。此外,可以通过管理员模块策略定期刷新用户和计算机的GPO设置。默认情况下,每90分钟刷新一次,这使得其他用户很难修改通过组策略定义的策略。但是,软件安装策略不会被刷新,因为没有人希望定期改变策略导致软件“?加载”,尤其是当其他用户正在使用它的时候。计算机和用户对象仅在计算机启动或用户登录时安装软件策略。
动词 (verb的缩写)GPO的内部组成
GPO由两部分组成:组策略容器(GPC)和组策略模板(GPT)。GPC是AD中GPO的一个例子。在一个叫做system的特殊容器中有一个128位的全局唯一ID码(GUID)。在活动用户目录用户和计算机插件中选择浏览,并从MMC菜单中选择高级属性以查看系统容器。GPT是Win2K文件系统中组策略的表达式,所有与一个GPO相关的文件都依赖于GPT。
第六,GPO带来的困难
虽然GPO很强大,但是掌握它并不容易。最难掌握的是如何判断一个有效的策略如何对域内的计算机或用户起作用,这一点尤为困难,因为GPO可以存在于广告链的不同层级。同时,因为您可以分配GPO的控制权,所以不容易知道其他GPO是否会影响您没有控制权的容器中的GPO。因此,很难计算计算机或用户对象收到的策略结果集(RSoP)。虽然微软没有提供计算RSoP的工具,但是有一些第三方厂商提供了相应的计算RSoP的工具。
另一个问题是战略的实施。如果在广告链的许多级别都有GPO,那么每次用户登录或系统启动时,所有GPO都将被执行。在Win2K系统中,微软引入了一些新的功能来优化系统的性能。首先,GPO的版本信息取决于工作站和GPO。如果GPO没有改变,系统将不会执行它。此外,在GPE的属性页上,可以禁止用户或计算机执行GPO。如果在系统关闭或启动时建立GPO来分发脚本,GPO的用户配置部分将被禁用,这将使工作站无法解析GPO并确定它是否已更改。
最后一个问题源于GPC和GPT是两个独立的实体。GPC是AD中的一个对象,它与GPT中包含的文件复制不同步,这意味着在创建GPO时,GPC可能已经开始将文件复制到域控制器上的Sysvol。
所有问题的根源在于AD采用了多代理复制模式。理论上,当另一个系统管理员在域控制器上编辑GPO时,您也可以在域上编辑它。所以在建立GPE时,默认是指“操作主体”中充当PDC的域控制器。(“运营主体”是AD基础架构中的一系列托管功能,作为PDC使用的服务器可以兼容运行NT和Win9x的工作站。通常,只授予少数系统管理员编辑GPO的权限,并确保如果有人编辑GPO,其他人也会知道,就可以避免这种情况。此外,需要注意的是,在编辑一个GPO时,应该将其“禁止”,并在修改后重新启用。