通过组策略集中控制和管理Windows网络

组策略（Group Policy）是基于Active Directory的一种系统管理技术，用来定义自动应用到网络中特定用户和计算机的默认设置，这些设置包括安全选项、软件安装、脚本文件设置、桌面外观和用户文件管理等。在基于Active Directory的Windows网络中，可通过组策略来实现用户和计算机的集中配置和管理。例如，管理员可为特定的域用户或计算机设置统一的安全策略；可在域中的每台计算机上自动安装某个软件，可为某个组织单位中的用户账户设置统一界面。
1．理解组策略
组策略设置存储在域控制器中，只能在Active Directory环境下使用，适用于组策略对象所作用的站点、域或组织单位中的用户和计算机。与AD组策略相对应的是本地组策略。本地组策略设置存储在所有运行Windows 2000/XP/2003的计算机上。一个本地组策略对象只能存在于一台计算机上，只能作用于该计算机及本地用户。如果与AD组策略的设置发生冲突，Active Directory组策略对象的设置将覆盖本地组策略对象的设置。如果不冲突，则两者都可以应用。
可以站点、域或组织单位为作用范围来定义不同层次的组策略对象，一旦定义了组策略对象，则该对象包含的规则将应用到相应作用范围的用户和计算机的设置。组策略对象的作用范围是由组策略对象链接（GPO Link）来设置的。任何组策略对象要想生效，必须链接到某个Active Directory对象（站点、域或组织单位）。
组策略既可以应用于用户，也可以应用于计算机。用户和计算机是接收策略的惟一Active Directory对象类型。组策略可提供针对用户和计算机的配置，相应地称为用户策略和计算机策略。对于用户配置来说，无论用户登录到哪台计算机，组策略中的用户配置设置都将应用于相应的用户。用户在登录计算机时获得用户策略。对于计算机配置来说，无论哪个用户登录到计算机，组策略中的计算机配置设置都将应用于相应的计算机。计算机启动时获得计算机策略。组策略不适用于Windows 9x/NT计算机，也不会影响未加入域的计算机和用户。
在Windows 2000/XP/2003域成员计算机中，组策略的执行顺序为：本地组策略对象→Active Directory站点→Active Directory域→Active Directory组织单位。在Active Directory层次结构的每一级组织单位中，可以链接一个、多个或不链接组策略对象。如果一个组织单位链接了多个组策略，则按照管理员指定的顺序同步处理。这意味着首先处理本地组策略对象，最后处理链接到计算机或用户直接上属组织单位的组策略对象，覆盖以前的组策略对象。
组策略可以继承。子容器继承父容器组策略，并且组策略的处理按站点、域和组织单位的顺序进行。这意味着如果将特定组策略分配给一个高级父容器，那么这个组策略将应用于该父容器下的所有容器，包括每个容器中的用户和计算机对象。但是，如果明确将组策略指定给一个子容器，那么子容器的组策略将替代父容器的组策略。
2．配置组策略对象
可以使用“Active Directory用户和计算机”或“Active Directory站点和服务”控制台来配置组策略，前者适合域或组织单位的组策略设置，后者适合站点的组策略设置。也可使用组策略对象编辑器MMC管理单元来配置组策略对象，这种方法适合编辑特定的组策略对象。这里以常用的“Active Directory用户和计算机”控制台为例讲解如何配置组策略对象。
编辑组策略对象
① 在“Active Directory用户和计算机”控制台树中，右键单击要设置组策略的域或组织单位（这里以域为例），从快捷菜单中选择【属性】命令，打开属性设置对话框。
② 切换到如图7.23所示的【组策略】选项卡，在组策略对象链接列表中已有一个默认的组策略对象。选中该对象，单击【编辑】按钮，打开要编辑的组策略对象。
③ 如图7.24所示，每个组策略对象包括计算机配置和用户配置两个部分，分别对应所谓的计算机策略和用户策略。设置相应的选项。例中设置账户策略。
提示：无论是计算机配置，还是用户配置，通常包括软件设置、Windows设置和管理模板这3个子项（由于组策略可向它添加或删除管理单元扩展组件，因此子项的确切数目可能不同）。其中位于【计算机配置】>【Windows设置】节点下面的【安全设置】节点是经常要设置的选项，它允许管理员手动配置指派到组策略对象的安全级别，设置系统安全性。
④ 设置相应的组策略对象后，返回到【组策略】选项卡，再单击【确定】按钮。
图7.23 【组策略】选项卡



图7.24 编辑组策略



新建和编辑组策略对象后，还要添加组策略对象链接，即将当前容器（域或组织单位）链接到已有的组策略对象。在【组策略】选项卡中单击【添加】按钮打开如图7.25所示的对话框，从现存于站点、域或组织单位的组策略对象中选择。
图7.25 添加组策略对象链接



3．应用组策略
在计算机启动和用户登录时，组策略中的计算机策略和用户策略按下列顺序应用到计算机和用户。
（1）网络启动。
（2）获得组策略对象的有序列表。该列表可能取决于下列因素：
该计算机是否为域成员，并且是否因此通过Active Directory受组策略的控制；
计算机在Active Directory中的位置；
如果组策略对象列表没有更改，则不进行处理，可以使用策略设置更改该行为。
（3）计算机策略已得到应用。这些都是收集的列表中“计算机配置”下的设置。默认情况下这些操作将同步进行，顺序为本地、站点、域、组织单位、子组织单位等。处理计算机策略时不显示用户界面。
（4）启动脚本开始运行。在默认情况下这是隐藏的而且是同步进行的。每个脚本在下一个脚本开始执行之前要么必须完成，要么做超时处理。默认超时时间为600秒。用户可以使用多种策略设置更改该行为。
（5）用户按〖Ctrl〗+〖Alt〗+〖Del〗键登录。
（6）用户验证身份之后，将加载由当前生效的策略设置控制的用户配置文件。
（7）用户可获得组策略对象的有序列表。该列表可能取决于下列因素：
用户是否为域用户，而且是否因此通过Active Directory受组策略的控制；
用户在Active Directory中的位置；
如果要应用的组策略对象的列表没有更改，则不进行处理，可以使用策略设置更改该行为。
（8）用户策略已被应用。这些都是收集的列表中“用户配置”下的设置。默认情况下这些操作将同步进行，顺序为本地、站点、域、组织单位、子组织单位等。处理用户策略时不显示用户界面。
（9）登录脚本开始运行。与Windows NT 4.0脚本不同，基于组策略的登录脚本在默认情况下是隐藏并且异步运行的。用户对象脚本（在Windows NT 4.0中以正常窗口运行）最后运行。
（10）显示由组策略预定义的操作系统用户界面。
限于篇幅，这里再举一个使用“管理模板”组策略的简单例子。要禁止域中所有用户在IE浏览器中更改主页设置。打开组策略编辑器，依次展开【计算机配置】>【管理模板】>【系统】>【Windows组件】>【Internet Explorer】节点（如图7.26所示，），双击“禁用更改主页设置”图标，打开如图7.27所示的对话框。选中【已启用】选项以启用该策略，然后单击【确定】按钮。
图7.26 展开组策略节点



图7.27 启用“禁用更改主页设置”策略



转自：http://book.51cto.com/art/200708/52960.htm