初步理解組策略
組策略是Active Directory中非常重要的一項技術,很多朋友都聽說過組策略對於管理的重要意義,也明白有些疑難問題可以用傳說中的“策略”來解決。但並不清楚組策略該如何理解,如何部署,如何管理。今天起我們將組織一系列的博文爲大家介紹組策略的來龍去脈,力爭讓大家可以更好地利用組策略來完善管理工作。 我們首先從組策略的概念談起,什麼是組策略呢?組策略是一個允許執行鍼對用戶或計算機進行配置的基礎架構。這個概念聽起來有些晦澀,不太容易理解。其實通俗地說,組策略和註冊表類似,是一項可以修改用戶或計算機設置的技術。那組策略和註冊表的區別在哪兒呢?註冊表只能針對一個用戶或一臺計算機進行設置,但組策略卻可以針對多個用戶和多臺計算機進行設置。這個你明白組策略的優點了吧,在一個擁有1000用戶的企業中,如果我們用註冊表來進行配置,我們可能需要在1000臺計算機上分別修改註冊表。但如果改用組策略,那隻要創建好組策略,然後通過一個合適的級別部署到1000臺計算機上就可以了。
組策略和Active Directory結合使用,可以部署在OU,站點和域的級別上,當然也可以部署在本地計算機上,但部署在本地計算機並不能使用組策略中的全部功能,只有和Active Directory配合,組策略纔可以發揮出全部潛力。組策略部署在不同級別的優先級是不同的,本地計算機<站點<域<OU。我們可以根據管理任務,爲組策略選擇合適的部署級別。
組策略對象存儲在兩個位置,鏈接GPO的Active Directory容器和域控制器上的Sysvol文件夾。GPO是組策略對象的縮寫,GPO是組策略設置的集合,是 存儲在Active Directory中的一個虛擬對象。GPO由組策略容器(GPC) 和組策略模板(GPT)組成,GPC包含GPO的屬性信息,存儲在域中每臺域控制器活動目錄中;GPT 包含GPO 的數據,存儲在Sysvol 的 /Policies 子目錄下。
組策略管理可以通過組策略編輯器和組策略管理控制檯(GPMC),組策略編輯器是Windows操作系統中自帶的組策略管理工具,可以修改GPO中的設置。GPMC則是功能更強大的組策略編輯工具,GPMC可以創建,管理,部署GPO,最新的GPMC可以從微軟網站下載。