組策略系列(二)基本概念
1 組策略控制檯GPMC
啓動GPMC:開始->所有程序->管理工具->組策略。(圖1)
2 組策略對象GPO
組策略對象包括策略設置。你可以想象組策略對象是一個應用到計算機或用戶設置的策略文檔,而組策略控制檯就像是瀏覽器。可以使用組策略控制檯增加、移動和刪除組策略對象,就如同你增加、移動和刪除一個文件一樣。
在組策略控制檯,你可以看到所有的組策略對象,如圖1:這裏有3個組策略對象:
Accounting Security:這是一個自定義的包含特殊的控制的組策略對象;
Default Domain Controller Policy:默認域控制器策略,在安裝域角色時默認安裝,該策略設置將應用到所有的域控制器上;
Default Domain Plicy:默認域策略。在安裝域角色時默認安裝,該策略將應用到域中所有計算機和域;
3 組策略連接GPlink
組策略對象需要連接到站點、域、組織單位上纔會對包含在其中的計算機或用戶產生影響。如圖1,2個組策略被連接:
一個是Default Domain Policy, 連接到crop.contoso.com域上。這個組策略對象將應用到域上的每個計算機和用戶;
第二個是Accounting Security, 連接到Accounting組織單位上。這個組策略對象應用到組織單位中的每個計算機和用戶。
在組策略控制檯,可以分爲兩步增加和連接組策略對象,也可以一步完成:直接右鍵增加並連接即可。
4 組策略繼承(圖2)
如前所述,將GPO連接到域,將應用到域上的每一個OU和子OU包含的計算機和用戶,而連接到OU,將應用到該OU下所有子OU包含的計算機和用戶,這就是繼承的概念。
繼承和優先級
如果有多個組策略對象包含相同的設置會發生什麼呢? 這時就要按照執行的優先順序,後來執行的設置的將覆蓋之前的設置,順序爲站點,域,組織單位,子組織單位,而最後執行的子OU上的GPO有最高的優先權,如有衝突,將覆蓋之前的設置。
對於同一個級別的GPO,低序列的後執行,因此在有衝突的時候將有更高的優先權,如圖,Windows Firewall Setting的設置比Default Domain Policy有更高的優先權。
多個GPO將使得排錯變得困難,因此強烈建議大家儘量減少GPO數量。
策略和首選項發生衝突時,基於註冊表的策略(管理模板中)優先;
同一策略中,計算機策略優先;
可以使用“禁止替代”和“阻止繼承”改變繼承;
不能阻止已設置爲“禁止替代”的策略。
5 組策略設置(圖3)
在GPMC中右鍵GPO並點擊編輯後,將打開一個GPO的GPME(組策略管理編輯器),您可以在其中進行編輯,當關閉時,GPME將自動保存改變而不需要手動保存。
如圖,1和2指向計算機設置和用戶設置。計算機設置包含了計算機的設置,而無論是哪個用戶登錄,它傾向於對計算機的系統和安全設置。而用戶設置將應用到用戶,傾向於用戶的使用體驗。
在這兩個設置中,都含有2個子文件夾:
策略:策略的強制實施的設置,用戶界面被禁用,每90分鐘刷新一次。
首選項:並非強制性,用戶界面不會被禁用,而且只能刷新一次或應用一次,常用語初始配置。將提供更細節的設置,可以在無需學習腳本語言的情況下,管理驅動器映射、註冊表設置、本地用戶和組、服務、文件和文件夾,而實現標準化管理或保護網絡安全。
6.而管理模板是基於註冊表的策略設置,不同於其他策略設置(圖4)
1) 這些策略存儲在註冊表特殊的位置,叫做策略分支,標準用戶不能更改的;
2) 管理員模板文件,擴展名爲.admx,該文件是定義某些設置的模板。這些模板不但定義策略在註冊表的位置,而且還包含GPME的描述。如圖4
當你編輯一個設置時,意味着:
1) Enable:用設置的enable值修改註冊表;
2) Disable:用設置的disable的值修改註冊表;
3) Not Configured:不修改註冊表的任何值,因此不會有任何效用;
一般你都需要寫一些幫助來說明比如數字5代表什麼,而且也要仔細地處理這些設置,因爲它們都將用於修改某些註冊表的值。
組策略刷新
組策略會定期地刷新GPO, 以確保新的或修改過的GPO及時應用而不用等到計算機重啓或用戶註銷。刷新間隔默認是90分鐘。當然你也可以用命令手動刷新:GPupdate /force。
組策略系列(一)概覽
組策略系列(二)基本概念
組策略系列(三)爲您深入解析組策略應用過程
組策略系列(四)進階學習
組策略系列(五)軟件部署
組策略系列(六)工具
組策略系列(七)自定義編寫ADM模板