Windows 2000组策略简介

对台式机配置更详尽的控制

组策略是Windows 2000中新增加的我最喜欢的功能,它给了我Windows NT从来没有提供过的功能━━对用户计算机集中而详尽的控制,我们可以把组策略看作是NT 4.0中系统策略的改进。组策略对象(GPO)是基于活动目录(AD)的对象,用户可以通过它集中地对Win2K台式机和服务器系统进行配置,它的功能包括从NT 4.0台式机的锁定到安全性配置和软件安装等。

篇文章主要讲述组策略是如何对系统起作用的、系统内部的工作原理以及在Win2K环境中采用这一技术时应该注意的问题,如果了解NT 4.0中系统策略的原理对我们理解组策略有一定的帮助。

组策略是什么?

GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中,一个单一的系统策略文件(例如ntconfig.pol)包括所有的可以执行的策略功能,但它依赖于用户计算机中的系统注册表的设置。在Win2K中,GPO包括文件和AD对象。通过组策略,可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装,这样在安装软件时就可以对文件夹进行重定向。

微软管理控制台(MMC)中的组策略编辑器(GPE)插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点(例如软件设置、Windows 设置、管理模块等)都是MMC插件扩展,在MMC插件中扩展是可选的管理工具,如果你是应用程序开发者,可以通过定制的扩展拓展GPO的功能,从而针对你的应用程序提供附加的策略控制。

只有运行Win2K的系统可以执行组策略,运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。

组策略和AD

要充分发挥GPO的功能,需要有AD域架构的支持,利用AD可以定义一个集中的策略,所有的Win2K服务器和工作站都可以采用它。然而,每台运行Win2K的计算机都有一个本地GPO(驻留在本地计算机文件系统上的GPO),通过本地GPO,可以为每台工作站指定一个策略,它在AD域中不起作用。例如,出于安全原因,你不会在AD域中配置公用的计算机。利用本地GPO,可以通过修改本地策略来得到安全性和对台式机的限制使用而无需利用基于AD域的GPO。访问本地GPO的方法有2种,第1种方法,在需要修改GPO的计算机的“开始”菜单上选择“运行”,然后键入:

gpedit.msc

这个操作的作用与NT 4.0中的poledit.exe相同,可以打开本地策略文件。第2种方法,可以通过在MMC控制台中选择GPE插件,并选择本地或远程计算机来人工地编辑本地GPO。

本地GPO支持除软件安装和文件夹重定向之外的所有缺省扩展,因此,只利用本地GPO你不能完成这些工作,如果想充分发挥GPO的功能,还是需要AD的支持。

GPO的多样性和继承

在AD中,可以在域、组织单位(OU)或地址三个不同的层次上定义GPO。OU是AD中的一个容器,可以指派它对用户、组、计算机等对象进行管理,地址是网络上子网的集合,地址形成了AD的复制分界线。GPO的名字空间被划分为计算机配置和用户配置两个大类,只有用户和计算机可以使用GPO,象打印机对象甚至用户组都不能应用GPO。

在一个域或组织单位(OU)中编辑策略的途径有几种。在活动目录用户或计算机MMC插件中,右击一个域或组织单位(OU),在菜单中选择“属性”,然后选择“组策略”标签。在编辑地址中的策略时,需要右击“活动目录地址和服务”插件,然后右击需要的地址得到其GPO。此外,还可以从“开始”菜单,选择“运行”,然后键入:

mmc.exe

启动MMC,选择“控制台”,“增加/删除”插件,然后选择“组策略”插件、“浏览”,在AD域内的GPO就会显示出来,可以选择一个GPO进行编辑。

时间: 2024-10-31 17:03:47

Windows 2000组策略简介的相关文章

方法-windows本地组策略的便利问题

问题描述 windows本地组策略的便利问题 2C 遍历组策略下面一个子项的所有信息 比如:gpedit.msc 里面的计算机配置->windows设置->安全设置->本地策略->用户权限 只需要遍历 不需要更改 需要用什么API 还是有什么其他方法 VC++实现? 解决方案 通过WMI来查询试试

Windows XP 组策略之安全篇

有时候我们的电脑会被其他来用户使用, 或许你的某些资料不想被别人看到, 或者别人会在不经意间更改了你的系统设置, 有没有好的办法防止呢? 我们知道在注册表中我们可以更改系统的很多设置, 但修改起来很麻烦,而组策略把各种配置模块集中在一起, 方便了用户的设置. 打开方式:运行--gpedit.msc 界面: 需要说明的是这里的"计算机配置"是对整个计算机中的系统配置进行设置的,是对计算机中所有用户的运行环境起作用:而"用户配置"则是对当前用户的系统配置进行设置的,它仅

用Windows 7组策略为系统“瘦身”

从Windows XP时代我们就知道,利用组策略功能可以对系统进行优化操作,包括让系统更安全.更高效.同样,这一切在Windows 7(以下简称Win7)当中也得到了继承.本文将从三个方面为大家讲解如何利用组策略为Win7瘦身,让Win7变得更高效. 注:组策略功能只在Win7专业版.旗舰版和企业版中提供. 一.精简系统功能 Win7很强大.很体贴,自带了很多实用功能,例如,系统还原功能和刻录功能,前者可以快速还原系统到"出事"前的状态,后者可以轻松完成光盘的刻录.不过,由于计算机配置

Windows8 组策略简介

在Windows8系统中,较Win7新增加了127个组策略选项,其中有25个组策略比较常用,下面就一起来看看吧. 一.账户同步设置 (1)不同步 说明:阻止微软服务器与此电脑进行双向同步(不上传,不下载). 这将关闭并禁用电脑设置中的"同步你的设置"页上的"同步你的设置"切换开关. (2)不同步个性化 说明:阻止"个性化"设置同步至微软服务器,不下载个性化设置. 这将关闭并禁用电脑设置中的"同步你的设置"页上的"个性

多个CPU在Windows 2000升级策略

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   CPU是中央处理单元(Central Process Unit)的缩写,它可以被简称做微处理器.(Microprocessor),不过经常被人们直接称为处理器(processor).不要因为这些简称而忽视它的作用,CPU是计算机的核心,其重要性好比心脏对于人一样.实际上,处理器的作用和大脑更相似,因为它负责处理.运算计算机内部的所有数据,而主板芯片组则更像是心脏

Windows 10组策略怎么打开 win10组策略打开方法

其实这个win10与其它windows版本是一样的只要打开"运行"然后输入:gpedit.msc 然后打开运行就可以进入到win10组策略了. 小娜助手功能不知道大它用过没,我们可以直接在小娜助手搜索"组策略"之后也可以搜索找到. 一些帮助小技巧: win10运行框打开方法,我们只要按下 Win + R 组合快捷键,或者直接在开始菜单中找到: cmd模式的方法,我们在"运行" 输入  cmd 命令,然后点击下方的确定即可打开.

windows服务器组策略删除增加和禁用方法

1.按住win键+R键打开运行(win键是CTRL和ALT中间,有个圆圈,四个方块那个),输入:gpedit.msc,按回车后打开组策略编辑器, 2.打开"组策略编辑器"窗口,在左窗格中依次展开"用户配置"→"管理模板"→"控制面板"目录,并选中"添加或删除程序"选项.然后在右窗格中将"删除'添加或删除程序'程序"策略设置为"已启用"状态.这样当用户在"控制

Windows XP禁止运行组策略的方法

Windows XP组策略中有一个"只允许运行Windows应用程序"的策略,你只要启用并添加只允许系统运行的程序名称,那么用户将只能运行"允许运行的应用程序列表"中的程序.不过,无论你有没有在"只允许运行程序列表"中添加gpedit.msc(组策略),一旦启用了这项策略,就再也不能运行"gpedit.exe"(组策略)了!不过我们可以使用下面的方法让"鱼与熊掌兼得". ①运行gpedit.msc,依次展开

WIN2003组策略详解

组策略是管理员为用户和计算机定义并控制程序.网络资源及操作系统行为的主要工具.通过使用组策略可以设置各种软件.计算机和用户策略.例如,可使用"组策略"从桌面删除图标.自定义"开始"菜单并简化"控制面板".此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer. 本文重点介绍的是Windows XP Professional的本地组策略的应用.组策略对本地计算机可以进行两个方面