对台式机配置更详尽的控制
组策略是Windows 2000中新增加的我最喜欢的功能,它给了我Windows NT从来没有提供过的功能━━对用户计算机集中而详尽的控制,我们可以把组策略看作是NT 4.0中系统策略的改进。组策略对象(GPO)是基于活动目录(AD)的对象,用户可以通过它集中地对Win2K台式机和服务器系统进行配置,它的功能包括从NT 4.0台式机的锁定到安全性配置和软件安装等。
篇文章主要讲述组策略是如何对系统起作用的、系统内部的工作原理以及在Win2K环境中采用这一技术时应该注意的问题,如果了解NT 4.0中系统策略的原理对我们理解组策略有一定的帮助。
组策略是什么?
GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中,一个单一的系统策略文件(例如ntconfig.pol)包括所有的可以执行的策略功能,但它依赖于用户计算机中的系统注册表的设置。在Win2K中,GPO包括文件和AD对象。通过组策略,可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装,这样在安装软件时就可以对文件夹进行重定向。
微软管理控制台(MMC)中的组策略编辑器(GPE)插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点(例如软件设置、Windows 设置、管理模块等)都是MMC插件扩展,在MMC插件中扩展是可选的管理工具,如果你是应用程序开发者,可以通过定制的扩展拓展GPO的功能,从而针对你的应用程序提供附加的策略控制。
只有运行Win2K的系统可以执行组策略,运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。
组策略和AD
要充分发挥GPO的功能,需要有AD域架构的支持,利用AD可以定义一个集中的策略,所有的Win2K服务器和工作站都可以采用它。然而,每台运行Win2K的计算机都有一个本地GPO(驻留在本地计算机文件系统上的GPO),通过本地GPO,可以为每台工作站指定一个策略,它在AD域中不起作用。例如,出于安全原因,你不会在AD域中配置公用的计算机。利用本地GPO,可以通过修改本地策略来得到安全性和对台式机的限制使用而无需利用基于AD域的GPO。访问本地GPO的方法有2种,第1种方法,在需要修改GPO的计算机的“开始”菜单上选择“运行”,然后键入:
gpedit.msc
这个操作的作用与NT 4.0中的poledit.exe相同,可以打开本地策略文件。第2种方法,可以通过在MMC控制台中选择GPE插件,并选择本地或远程计算机来人工地编辑本地GPO。
本地GPO支持除软件安装和文件夹重定向之外的所有缺省扩展,因此,只利用本地GPO你不能完成这些工作,如果想充分发挥GPO的功能,还是需要AD的支持。
GPO的多样性和继承
在AD中,可以在域、组织单位(OU)或地址三个不同的层次上定义GPO。OU是AD中的一个容器,可以指派它对用户、组、计算机等对象进行管理,地址是网络上子网的集合,地址形成了AD的复制分界线。GPO的名字空间被划分为计算机配置和用户配置两个大类,只有用户和计算机可以使用GPO,象打印机对象甚至用户组都不能应用GPO。
在一个域或组织单位(OU)中编辑策略的途径有几种。在活动目录用户或计算机MMC插件中,右击一个域或组织单位(OU),在菜单中选择“属性”,然后选择“组策略”标签。在编辑地址中的策略时,需要右击“活动目录地址和服务”插件,然后右击需要的地址得到其GPO。此外,还可以从“开始”菜单,选择“运行”,然后键入:
mmc.exe
启动MMC,选择“控制台”,“增加/删除”插件,然后选择“组策略”插件、“浏览”,在AD域内的GPO就会显示出来,可以选择一个GPO进行编辑。