引言
在 Windows® 2000 操作系統中,您(系統管理員)使用“組策略”爲用戶和計算機組定義用戶和計算機配置。您通過使用“組策略”Microsoft 管理控制檯 (MMC) 管理單元爲特定用戶和計算機組創建具體的桌面配置。所創建的“組策略”配置包含在一個“組策略對象”(GPO) 中,該對象轉而又與選定的 Active Directory™ 服務容器如站點、域或組織單位 (OU) 等關聯。
使用“組策略”管理單元,您可以指定下列各項的策略設置:
- 基於註冊表的策略。包括 Windows 2000 操作系統及其組件以及應用程序的組策略。要管理這些設置,您可以使用“組策略”管理單元的“管理模板”節點。
- 安全性選項。 包括針對本地計算機、域和網絡安全設置的選項。
- 軟件安裝和維護選項。用來集中管理應用程序的安裝、更新和刪除。
- 腳本選項。 包括用於計算機啓動和關閉,以及用戶登錄和註銷的腳本。
- 文件夾重定向選項。 允許您將用戶的特殊文件夾重定向到網絡。
使用組策略,您就可以對用戶工作環境狀態只定義一次,然後靠系統實施管理員定義的策略。
本文就設置“組策略對象”(GPO) 時的一般考慮事項爲管理員提供了一個概括性的描述,包括下列各節:
- 定義組策略要求。介紹如何確定組策略要求。策略設置構成了第一組要求,包括安全性和用戶環境設置。第二組要求包括對象類型,如工作站、用戶和“域控制器”(DC)。
- 確定設置的作用域。 介紹如何定義各策略對象的作用域,並建議了一些戰略,比如:爲公用設置創建一個 GPO,爲要求不同設置的組創建單獨的 GPO。此節還講述了對 GPO 的更改。
- 驗證 Active Directory 域/OU 設計。 介紹如何確定 Active Directory 域/組織單位 (OU) 設計能否有效地支持 GPO。
- 管理組策略。 介紹組策略管理,特別介紹管理結構、策略和做法如何影響 GPO 模型的最終結構。
- 測試和優化組策略。 介紹如何複查和測試組策略結構以便它有正確的行爲和最佳性能。
- 維護組策略。 介紹在組織的需要改變時,如何排除組策略的問題和維護組策略。
定義組策略要求
本節介紹如何定義組策略要求。
首先,要確定所需策略設置的類型。策略設置通常劃分爲以下幾部分:
- 安全設置。
- 要部署的應用程序包。
- 計算機系統設置。
- 用戶環境設置。
- 特定於應用程序的設置。
下一步,確定目錄中哪些類型的對象(用戶,計算機)將應用這些設置。在策略設置與將要應用組策略的各對象類型之間建立交叉引用。
- 域(密碼/帳戶策略)
- 工作站
- 用戶
- 域控制器
- 服務器(應用程序,文件與打印)
完成此階段工作後,組策略的初步結構就形成了。此時,各目標對象(用戶、工作站等)應與包含針對此對象的所有不同設置的單個 GPO 對應起來。具體例子請參見下表 1。
表 1 組策略要求示例
| 域 |
工作站 |
用戶 |
域控制器 |
服務器 | |
|---|---|---|---|---|---|
| 安全性 |
密碼、帳戶、Kerberos 策略 PK 信任列表 |
用戶權限 文件和註冊表 ACL 審覈和事件日誌 本地設置 |
EFS 策略 |
用戶權限 文件和註冊表 ACL 審覈和事件日誌 本地設置 |
用戶權限 文件和註冊表 ACL 審覈和事件日誌 本地設置 |
| 應用程序部署 |
必需的核心應用程序 |
發佈可選應用程序和組件 |
管理工具 |
管理工具 | |
| 計算機設置 |
啓動腳本 登錄 磁盤配額 脫機文件 |
磁盤配額 |
打印機刪除 | ||
| 用戶設置 |
登錄腳本 Internet Explorer 設置 RAS 文件夾重定向 桌面鎖住 網絡 系統 |
(環回) 禁用標準用戶桌面設置 |
(環回) 禁用標準用戶桌面設置 | ||
| 應用程序設置 |
Office 2000 待發布的內部應用程序 |
產生的組策略對象列表
- 組策略對象
- 域安全性設置
- 工作站設置(安全性、部署的應用程序、系統設置)
- 用戶設置(安全性、部署的應用程序、系統設置和應用程序設置)
- 域控制器設置(安全性、部署的應用程序與系統設置)
- 服務器設置(安全性、部署的應用程序與系統設置)
確定設置的作用域
本節介紹如何定義表 1 中列出的各策略對象的作用域。
對於各 GPO,考慮這樣一個問題:
- 各目標對象(如計算機、用戶或域)的設置對組織中的所有對象是否通用的?或者說,這些對象中不同的分組是否需要應用不同的設置?
如果有的 GPO 對用戶/計算機羣體中的不同分組應用不同的設置,則 GPO 需分叉。在此階段,您需要確定哪些設置與羣體中的哪一部分對應。
往往出現情況:許多設置對組織中的所有用戶/計算機都是通用的,但有很少的一些設置因組而異。在這種情況下,可以爲通用設置創建一個 GPO,爲各個要求不同設置的組分別設置單獨的 GPO。
在定義策略的作用域時,應考慮當用戶策略設置應用到計算機而這些設置並不適用時會有什麼樣的影響。例如,如果一個用戶負有管理責任,則設置該用戶須登錄到服務器控制檯安裝其應用程序可能是不可取的。爲要保護的系統設置一個“環回”策略來補充或覆蓋正常的用戶設置即可避免這一點。
組策略作用域另一個需考慮的方面是,某一特定的設置組是否需要對所有從屬容器強制實施,或者相反,是否需要阻止某些設置的繼承。在後面的“管理組策略”一節討論了這一問題。
表 2 組策略對象更改示例
| 現有 GPO |
作用域 |
新 GPO 的影響 |
|---|---|---|
| 域安全性 |
單位中的所有域 |
無更改 |
| 工作站安全性、應用程序、系統設置 |
工作站安全設置在某些物理位置會有變化 所有其他的設置對所有工作站通用 |
工作站安全性—全局,但某些站點有變化。 |
| 其他設置—全局。 | ||
| 用戶安全性、應用程序、系統設置和應用程序設置 |
用戶安全性因部門而異 系統設置對所有用戶通用 應用程序和應用程序設置因部門而異 |
用戶系統設置—全局 |
| 安全設置、應用程序和應用程序設置、桌面設置—每部門一個 GPO。 | ||
| 域控制器安全性、應用程序和系統設置 |
所有域控制器 |
無更改。 |
| 服務器安全性、應用程序和系統設置 |
安全性與系統設置因服務器類型(文件服務器、應用程序服務器)而異 |
服務器應用程序—全局。 |
| 安全性與系統設置—每服務器類型一個 GPO。 |
驗證 Active Directory 域/OU 設計
本節爲域驗證/OU 設計提供了一個框架。
在此階段,您需要確定前面講述的功能如何部署到您的域/OU 設計中。請考慮下面幾個問題:
- 域設計能否支持組策略的有效使用和管理?
- 如不能,需做何更改?
- “Active Directory 網絡和委派”要求與“組策略”要求之間有何衝突?
爲消除目錄結構與 GPO 要求之間的衝突,往往需要用安全組來篩選 GPO。
此階段工作的目標是產生一個經修訂的 GPO 結構(也可能是經修訂的 Active Directory 名稱空間結構)以及對“GPO 篩選安全組”的定義。具體例子請參見下面的圖 1。
圖 1 設計擬議中的公司域 OU 結構
此例中,OU 結構對於所有的三個域是通用的。用戶帳戶管理在地區和國家級進行。用戶設置和應用程序部署由各部門管理。地區 IT 中心和國家級 IT 組管理工作站、服務器和域控制器。
第一個問題是,組策略不能跨域繼承,也不能從一個域複製到另一個域。一個域中的 GPO 可以從另一個域中鏈接,但在此特定的域模型中,這樣做會使性能大大降低(因爲 GPO 將通過洲際 WAN 鏈路加載)。
備註 在來自多個域的域控制器可通過帶寬相對較高的網絡訪問的情形中,這可能不是一個太大的問題。不過,域間鏈接的麻煩可能會特別多,因爲策略對象的應用將與其所有權和控制權脫離。通常,只應由對 GPO 設置有控制權的管理員進行到這些 GPO 的鏈接。否則 GPO 中的設置可能在鏈接的用戶不知道的情況下就更改了(而且 GPO 的所有者也不一定知道這些更改有何影響)。
這一問題的解決辦法是在各域中複製 GPO 結構。此時,有必要檢查域結構,看擬議中的所有域是否可合併成一個(或者至少合併成較少的幾個)以便於 GPO 管理。
第二個困難是,擬議中的 OU 結構可能不能與 GPO 的作用域很好地對應。例如,用戶對象 OU 可能按地理位置組織以符合地區管理委派結構,而策略則需要按部門或業務單位來應用。解決辦法是,在一個更高的的級別應用組策略對象並使用安全組(與要求的業務單位結構匹配)來篩選這些 GPO。
組策略對象的更改
除了所有 GPO 都必須在各域中複製外,對 GPO 的結構未做更改。
對域/OU 結構的更改包括在現有用戶 OU 之上添加一個“用戶帳戶 OU”—在此應用通用的用戶策略。
GPO 篩選安全組
下面的例子列舉了兩個一般類型的 GPO 篩選安全組:
- 每部門用戶/應用程序 GPO 組
- 服務器類型 GPO 組
管理組策略
本節列出了管理組策略的一些指導原則。
起管理作用的結構、策略和做法將影響 GPO 模型的最終結構。請仔細考慮這些策略,並注意以下指導原則:
- 管理結構影響 GPO 結構。例如,儘管安全設置與其他工作站設置有相同的作用域,但控制它們的管理組可能不同。這可能要求對單個 GPO 拆分。
- 應用到“組策略”對象的訪問控制列表 (ACL) 應反映出應由誰來管理這些對象。類似地,所有域和 OU 上的 ACL 應限制誰可以將 GPO 鏈接到這些容器。
- 包含必須應用到子 OU 中所有對象的設置的 GPO 可能需要強制實施,以防這些設置被在 OU 層次結構中較低層次應用的 GPO 所覆蓋。某些全局安全策略設置通常都要求這樣。
- 在另外一些情況下,本地管理員可能希望將他們的 GPO 設置指定爲阻止繼承的設置,使較高級別的策略設置不被繼承。需要這樣做的情況較少—而且由於容易造成混亂—應避免或慎用這一做法。
- 委派對一個 GPO 中部分設置的控制權這一需要,可能要求拆分 GPO 並讓適當的 ACL 應用到各個新的 GPO。
- 委派對 GPO 設置的控制權和在 OU 上創建/刪除組策略鏈接的能力。
- 將需要創建“自定義組策略編輯器”控制檯。(這可能包括在策略中指定誰可以加載哪些“組策略”管理單元)。
表 3 顯示了對一個 GPO 結構的更改示例。
表 3 對組策略對象結構的可能更改
| 現有 GPO |
新的 GPO |
|---|---|
| 域安全性 |
域安全性 |
| 全局工作站安全性和系統設置 |
全局工作站安全性 |
| 全局工作站系統設置 | |
| 站點工作站安全性 |
站點工作站安全性 |
| 全局用戶系統設置 |
全局用戶系統設置 |
| 安全設置、應用程序和應用程序設置、桌面設置(每部門)。 |
全局用戶安全設置 |
| 部門用戶安全性 | |
| 部門應用程序和應用程序設置 | |
| 域控制器安全性、應用程序和系統設置 |
域控制器安全性 |
| 域控制器系統和應用程序設置 | |
| 服務器應用程序 |
服務器應用程序 |
| 安全性與系統設置—每服務器類型一個 GPO |
服務器安全性 |
| 系統設置 | |
表 4 可能的 GPO 強制實施和管理控制示例
| GPO |
強制實施/阻止 |
GPO 管理員 |
|---|---|---|
| 域安全性 |
安全 | |
| 全局工作站安全性 |
強制實施 |
安全 |
| 全局工作站系統設置 |
桌面工程 | |
| 站點工作站安全性 |
強制實施 |
安全 |
| 全局用戶系統設置 |
桌面工程 | |
| 全局用戶安全設置 |
安全 | |
| 部門用戶安全性 |
業務單位管理 | |
| 部門應用程序和應用程序設置 |
應用程序部署組 | |
| 域控制器安全性 |
安全 | |
| 域控制器系統和應用程序設置 |
基礎結構工程。 | |
| 服務器應用程序 |
應用程序部署 | |
| 服務器安全性 |
安全 | |
| 服務器系統設置 |
基礎結構工程 |
測試和優化組策略
本節概述了正確地測試和優化組策略需要做些什麼。
在此階段,組策略結構需要經過複查和測試,以便它有正確的行爲和最佳的性能。應檢驗的一些內容包括:
- 如果用戶在不斷換用計算機,那麼組策略的組合在所有不同的排列中是否表現出預期的行爲?
- 如果膝上型電腦不斷變換站點,那麼站點和域/OU 策略設置的組合是否表現出預期的行爲?
- 應檢查並測試組策略設計使之更高效。如果有太多 GPO 應用到一個用戶或計算機,則登錄或啓動時間可能長得難以接受。過多的 GPO 應用到單個用戶或計算機可能會使對策略結構的理解變得很困難。
- 應檢查每一個策略,看它是否可以優化。用安全組進行篩選可防止不必要的對 GPO 的客戶端處理。應將策略對象中不使用的用戶或計算機部分禁用,以使不必要的客戶端處理量最小化。
- 對於頻繁更改的較大或較複雜的 GPO,應看一下不斷更改的設置部分是否可以移到一個新的 GPO 中。對 GPO 的每次更改都會導致域控制器之間的複製和到客戶端的下載。將不斷更改的設置部分移到一個單獨的 GPO 中可使對網絡和對客戶端 GPO 處理時間的影響最小。
備註 但這樣做又可能會導致 GPO 結構過於複雜,所以須權衡兩者之間的利弊得失。
維護組策略
本節介紹隨着單位需要改變,如何排除組策略的問題和維護組策略。錯誤的 GPO 設置會帶來大範圍的嚴重的後果。每一個更改都應在實驗室中經過測試,然後才能部署到生產環境中。GPO 目前尚不能在域間複製或移動,所以在實驗室測試的 GPO 要複製到產生環境中時,需要手動編輯 GPO 設置。
如要添加一個新的 GPO,可將它放在一個測試 OU(在產生域中)中並讓一小組用戶試用它。
如要更改一個現有 GPO,可在一個測試 OU 中試用所做的更改。首先從測試 OU 創建一個到此現有 GPO 的臨時鏈接,然後在此 OU 中創建一個實現這些更改的新的 GPO(有更高的優先級)。在這些更改的效果經過測試後,可將這些更改放入生產 GPO 中並刪除臨時鏈接。
因爲對 GPO 的更改會產生巨大的影響,所以一定要有完整的更改管理步驟。每一個擬議中的更改在獲准引入生產環境之前,都應經過檢查和正確的測試。
有關維護組策略方面的更多信息,請參見 Troublehshooting Group Policy(組策略疑難解答)。
總結
組策略允許您對用戶工作環境狀態只定義一次,然後靠系統實施所定義的策略。爲達到這一狀態,您需要首先在規劃 Active Directory 域結構的同時仔細地創建、組織和規劃 GPO。本文對建議考慮的事項作了一個高度的概括。有關進一步的信息,請參見下面的相關鏈接。
相關鏈接
請參見下列資源中的進一步的信息:
- Windows 2000 Group Policy(Windows 2000 組策略)
- Troubleshooting Group Policy in Windows 2000(Windows 2000 中組策略疑難解答)
- Implementing Registry-Based Group Policy(實現基於註冊表的組策略)
- Implementing Common Desktop Management Scenarios(實現常見桌面管理方案)
- Microsoft TechNet。
有關 Windows 2000 Server 的最新信息,請參見 Microsoft TechNet 和 Windows 2000 Server Web 站點。