组策略对象

 本文出自 “王达博客” 博客，转载请与作者联系！

作者已授权本博客转载

以下内容摘自笔者编著的《网管员必读——网络管理》（第2版）一书：

7.1.2   组策略对象

策略设置存储在组策略对象（ GPO ）中，可以使用组策略对象编辑器来编辑每个 GPO 的设置。在安装组策略管理控制台（ GPMC ）后，通常从 GPMC 中打开组策略对象编辑器，而不是像以前从 ADUC 或者 ADSS 中打开。

1．GPO类型

在 Windows 系统中， 共有两种类型的 GPO 。

1 ）基于 Active Directory 的 GPO

这些 GPO 存储在某个域中 ， 并且复制到该域的所有域控制器上。它们仅在 Active Directory 环境中可用。它们应用于组策略对象所链接的站点、域或部门中的用户和计算机。这是 Active Directory 环境中使用组策略的主要机制。

可将基于 Active Directory 的 GPO 链接到域、站点或部门以应用其设置。

一个 GPO 可以链接到多个站点、域或组织单位，一个站点、域或组织单位又可以链接多个 GPO 。在这种情况下，在发生冲突时可使用规则来确定哪个设置优先（有关组策略处理和优先级参见 下 节介绍），通常是按以下顺序应用设置的：本地 → 站点 → 域 → 部门。

对于多个 GPO 链接到特定站点、域或部门的情况，您可以指定优先顺序，并由此指定应用这些 GPO 的优先级。默认情况下，使用最后应用的配置设置。例如，假定在各 GPO 中将“将‘注销’添加到 【 开始 】 菜单”配置如下：本地 GPO ： 已禁用；站点 GPO ： 未配置；域 GPO ： 已禁用；组织单位 GPO ： 为第一个应用的 GPO （链接顺序 2 ）启用，但没有为第二个应用的 GPO （链接顺序 1 ）配置。

在这种情况下，组织单位中链接顺序 2 中配置的“已启用”优先级高，所以最终在用户的 【 开始 】 菜单上将显示“注销”菜单项。

GPMC 新增了对 GPO 复制、导入、备份和还原的支持，有关这方面的内容将在本章后面具体介绍。

2 ）本地 GPO

每个计算机上只存储一个本地 GPO 。本地 GPO 是 Active Directory 环境中影响力最小的 GPO ，本地 GPO 包含的设置仅为基于 Active Directory 的 GPO 中找到的设置的一个子集。

运行 Windows 2000 、 Windows XP Professional 、 Windows XP6 4-Bit Edition 或 Windows Server 2003 操作系统的每台计算机都只有一个本地组策略对象。在这些对象中，组策略设置存储在各个计算机上，无论它们是否属于 Active Directory 环境或网络环境的一部分。

本地组策略对象包含的设置要少于非本地组策略对象的设置，尤其是在“安全设置”下。本地组策略对象不支持“文件夹重定向”和“组策略软件安装”。

因为它的设置可以被与站点、域和组织单位相关联的组策略对象覆盖，所以在 Active Directory 环境中本地组策略对象的影响力最小。在非网络环境中（或在没有域控制器的网络环境中），本地组策略对象的设置相当重要，因为此时它们不会被其他组策略对象覆盖。

本地组策略对象驻留在 Systemroot \System32\GroupPolicy 中。运行 Windows NT 4.0 或更低版本的计算机没有本地组策略对象，而且它们不能识别非本地的组策略对象。

本地 GPO 不支持某些扩展，如文件夹重定向或组策略软件安装。本地 GPO 支持许多安全设置，但是组策略对象编辑器的安全设置扩展不支持本地 GPO 的远程管理。因此，您若使用命令行： gpedit.msc /gpcomputer: “ Computer1 ” ，虽然可以在 Computer1 上编辑本地 GPO ，但是“安全设置”选项却不出现。

本地 GPO 始终会被处理，但它们在 Active Directory 环境中却是影响最小的 GPO ，因为基于 Active Directory 的 GPO 优先级更高。

2．用户设置和计算机设置

GPO 设置可分为“用户配置”和“计算机配置”（如图 7-3 所示），前者保存在用户登录时应用于用户的设置，后者保存在计算机启动（引导）时应用于计算机的设置。大多数设置只出现在一个部分中，但有些设置在两个部分中都有，如“同步运行登录脚本”。如果设置出现在两个部分中，并且它们不一致，则使用计算机设置。

图 7-3  GPO 中的“用户配置”和“计算机配置”两部分

“用户配置”和“计算机配置”可进一步细分为可自定义的组策略 MMC 扩展集。

图 7-4   更改 GPO 状态配置的对话框

3．更改GPO的状态

默认情况下， GPO 的状态是“已启用”，但是管理员可以自由更改设置。

方法是在相应 GPO 编辑器窗口中的 GPO 上单击鼠标右键，在弹出菜单中选择 【 属性 】 命令，在打开的对话框中选择“常规”选项卡，如图 7-4 所示。

图 7-4   更改 GPO 状态配置的对话框

在其中可以如果仅选择了“禁用计算机配置设置”复选框，则将禁用 GPO 上所有的计算机配置策略项设置；如果仅选择了“禁用用户配置设置”复选框，则将禁用 GPO 上所有的用户配置策略项设置；如果同时选择这两个复选框，则将禁用整个 GPO 上的策略设置。当客户端计算机处理 GPO 时，不会评估已禁用的 GPO 部分。

在更改 GPO 的状态时，从该 GPO 获取策略的所有站点、域和部门都会受到影响。因此，禁用 GPO 比禁用它的一个链接产生的影响要大得多。

GPO链接上的“强制”（以前称为“禁止替代”）比域或部门上的“阻止继承”的优先级高。如果为GPO链接打开“强制”并关闭“已启用链接”，则不应用该GPO。而“阻止继承”并不会改变直接链接到已启用“阻止继承”的域或部门的GPO的组策略设置。

4．GPO的默认权限

GPO也是一个文件，它对各用户和组对象也有默认的访问权限分配。表7-1显示了组策略对象的默认权限。

表7-1  组策略对象的默认权限

安  全  组	GPMC中显示的默认权限
Authenticated Users	GPO“作用域”选项卡上的“安全筛选”；“委派”选项卡上的“只读（来自安全筛选）”
SYSTEM	编辑设置，删除、修改安全
Domain Admins	编辑设置，删除、修改安全
Enterprise  Admins	编辑设置，删除、修改安全
ENTERPRISE  DOMAIN CONTROLLERS	读取

 

经验之谈	在没有Windows Server 2003架构的纯Windows 2000林中，没有给企业域控制器（Enterprise Domain Controllers）组授予GPO的任何权限。 无法删除特殊组策略对象的“默认域策略”和“默认域控制器策略”。这种限制的目的在于防止误删这些组策略对象，它们包含该域的重要的和必要的设置。