组策略这个词相信接触过Windows的用户或多或少都知道一些,但深入了解的恐怕不多,这里就组策略进行一个介绍,希望能给大家带来组策略的较完整的印象。
在了解组策略之前,先看一个概念——活动目录(Active Directory)。活动目录是一种Windows的目录服务,其存储了有关网络对象(例如用户、用户组、计算机、域、组织单位(OU)以及安全策略)的信息,并且让管理员和用户能够轻松地查找和使用这些信息。在活动目录中有组织单元(OU)、域、站点几个重要结构。OU(Organizational Unit,组织单位)是一种可以将用户、组、计算机和其它组织单位放入其中的活动目录容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。而域是活动目录中一个核心单元,是一个出于管理而定义的对象的集合,一个域可以包含多台计算机;每个域中至少有两个域控制器,用来运行操作系统和活动目录,具有存储和复制的功能,来确保活动目录的可用。站点由多个子网的计算机组成,同一站点的域控制器间交流很频繁,对一个域控制器的改变很快会复制到其他的域控制器上来完成对站点的控制。
组策略概述
组策略(Group Policy) 是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。组策略基于活动目录来管理多个计算机或用户,管理的实现是通过对注册表的修改进行的,注册表中的信息是从活动目录获取的,其改变也会影响到活动目录的信息,从而实现了对相关对象的管理。在组策略里将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
用户可以通过“开始”菜单上的“运行”功能,输入“gpedit.msc”进入组策略面板。
可以看到组策略分计算机配置和用户配置,计算机配置用于管理控制计算机特定项目的策略,包括桌面外观、安全设置、操作系统运行等,对计算机生效,在操作系统启动时生效;用户配置用于管理控制多用户特定项目的管理策略,包括应用程序配置、桌面特性、登录注销脚本等,在对应用户登录时生效。一般更改的组策略不会立刻生效,组策略有后台刷新间隔,在一个周期后会自动更新新的组策略。一般计算机配置和用户配置产生冲突时以计算机配置为主。
在两种配置下都有三个子文件夹,为软件设置、Windows设置和管理模板,但亦有区别。软件设置用于管理软件分发组件,该组件为计算机和用户安装。Windows设置用来管理用户环境设置,计算机配置和用户配置下的文件夹分布并不一致,左下图是Windows7系统下Windows设置的内容。
同样,管理模板部分也有区别(右上图),该部分包含了基于注册表的策略信息,注册表内每个配置、计算机和用户都维持着自己的信息,用户配置信息储存在HKEY_CURRENT_USER,计算机配置信息储存在 HKEY_LOCAL_MACHINE中。
组策略的由来
在当今的网络环境中,网络安全受到很大的挑战,为了局域网内的安全,需要为各类用户发布、维护定制的桌面设定,如移动用户、信息工作者以及其他严格界定工作任务的用户,比如数据录入。相应的安全设定和更新必须有效的传递给组织中的所有计算机和设备。在遭遇计算机崩溃或者灾难性事件中,服务必须在最小数据丢失和中断下恢复。为了提高效率,需要能够做到快速的执行变更以及对于大量用户和计算机实施。组策略就是为了满足这些要求而出现的。
例如,在需要一次定义这些设置时,可以使用活动目录,将组策略应用到站点、域以及用户和计算机。另外, 通过对于一些针对服务器操作和安全性的设定,可以协助管理服务器。也可以为一个OU中的用户成员,发布指定的软件。