07第7章组策略.docx

07第7章组策略.docx

《07第7章组策略.docx》由会员分享，可在线阅读，更多相关《07第7章组策略.docx（25页珍藏版）》请在冰豆网上搜索。

07第7章组策略

第七章组策略

1．理解组策略的概念及其作用，了解建立组策略的前提。

2．理解组策略对象，掌握创建组策略对象的方法。

3．理解管理模板、安全、软件安装、脚本、文件夹重定向五个主要组策略方式的概念，掌握其实现方法。

4．理解组策略的生效时间和用户策略的来源。

5．理解策略冲突、策略继利既念，掌握更散姥且策略的默认设置的方法。

6．理解组策略对象链接（GPOLink）的优先级概念，掌握组策略许可的设置。

7．理解组策略信息的存储和存储模型。

8．从基本掌握组策略的实现方法。

9．掌握用组策略实现软件分发的方法。

Windows2000的网络管理主要是依靠组策略（GroupPolicy）来进行的。

组策略是活动目录上最大的应用。

ActiveDirectory目录服务包括数据存储和逻辑分层结构。

作为逻辑结构，它为策略应用程序提供分层的环境。

作为目录，它存储着分配给特定环境的策略（称为组策略对象）。

组策略对象表示了一套商务规则，它包括与应用环境有关的设置，这些设置可确定：

·目录对象和域资源的访问。

·用户可使用什么域资源（如应用程序）

·这些域资源是如何配置使用的。

例如，组策略对象可决定访用户登录时用户在其计算机上能看到什么应用程序；当他在服务器上启动时有多少用户可连接至MicrosoftSQLServer；以用户转移到不同的部门或组时可访问什么文件或服务。

组策略对象可让管理员有可能管理少量的策略而不是大量的用户和计算机。

通过ActiveDirectory，可将组策略设置应用于适当的环境中，不管是整个单位还是单位中的特定部门。

7.1微软的管理策略

微软的管理策略是根据用户的需求制定的。

一般地说，用户的需求如下：

（1）保护用户的数据在网络上进行存储；

（2）允许用户在线或离线工作。

（3）如果用户被移动，用户的数据、设置、应用程序跟随着用户。

（4）可通过策略对用户作批量配置。

（5）自修复桌面。

（6）不用预先分级就可以灵活地添加、替代桌面。

针对以上的客户需求，微软提出的解决方案是智能镜像（IntelliMirror）和远程操作系统安装（RemoteOSInstallation）。

智能镜像包括用户数据、用户设置和用户应用程序镜像，其功能简单地说就是用户到哪，用户的所有东西就跟随到哪。

远程操作系统安装它的作用就是在无人值守的情况下进行Windows2000操作系统的远程安装。

智能镜像和远程操作系统安装这两大部分的共同之处就是通过组策略来实现的。

7.2组策略

7.2.1概念及其作用

1．组策略概念

组策略的没置定义了系统管理员需要管理的用户桌面环境的各个组成部分，例如，用户可用的程序、用户桌面上出现的程序，以及“开始”菜单选项的内容等。

使用组策略管理单元，可为特定用户组创建特定的桌面配置。

所指定的组策略设置包含在组策略对象（GPO）中，而组策略对象又和所选择的站点、域或组织单位的ActiveDirectory对象有关。

组策略包括能够影响用户的“用户配置”和影响计算机的“计算机配置”。

2．组策略的作用

利用组策略和组策略的扩展，可以：

（1）用管理模板来管理基于注册表的策略。

组策略可创建包含注册表设置的文件，这些设置被写入到注册表数据库中有关用户或本地计算机的部分。

用户登录到给定的工作站或服务器时，其专用配置文件（profile）的设置会被写入注册表的HKEY_CURRENT_USER（HKCU）下，而计算机的专用设置会写在HKEY_LOCAL_MACHINE（HKLM）下。

（2）指派脚本。

例如启动、关机和登录、注销等。

（3）重定向文件夹。

从本地计算机上复制（重定向）DocumentsandSettings文件夹到网络服务器上。

（4）管理应用程序。

如指派（assign）、公布（publish）、更新或修复应用程序。

可以使用软件安装扩展程序（WindowsInstaller）来完成此任务。

（5）规定安全选项。

包括账户策略（密码、账户锁定、Kerberos等策略），本地策略（审计、用户权利指派、安全选项等策略），事件日志，受限组（RestrictedGroups），系统服务，注册表和文件系统等策略设置。

注意：

这并不包括安全设置扩展（scecli.dll）以外的安全设置，如无线网扩展、公开钥策略或软件限制（SoftwareRestriction）策略等。

为用户指定需求（需求是用户提出的）和实现是由管理员来做的，用户不可以自己来实现，用户所做的任何事都不具有移动性，由管理员做的设置和改变是可以移动的。

依赖于Windows2000的组策略是不能离开Windows2000的，这是Windows2000的新特性。

如果没有Windows2000，组策略是不可能发挥作用的。

组策略是一种不间断执行的技术，从这一点可以看出它保证了用户的设置不被非法的更改，但会增加网络流量。

组策略的应用很普遍；例如如果销售部需要Office2000，我们可以设置在销售部的所有计算机上安装Office2000的策略；审核所有的失败登录也可以用组策略来实现。

3．组策略的应用

●组策略应用的对象

用户和计算机是唯一能接受组策略的活动目录对象。

用户策略（即保存在组策略内“用户配置”节点下的设置）是用户登录时生效的。

而计算机策略（即保存在“计算机配置”下的配置）是计算机启动时生效的。

特别地，没有适用于安全组的策略，换言之，由于性能的原因，安全组须借助于应用组策略到ACE的方式来过滤策略，而ACE可被设置成“允许”、“拒绝”或“未设置”的许可状态。

注意：

（可参考书本图7-6）

用户配置（Userconfiguration）：

组策略中的用户配置节点可用来给用户设置策略，且与用户所登录的计算机无关。

用户配置一般包含软件设置、Windows设置、管理模板等子节点，但由于组策略可从用户配置内添加或删除管理单元（snap-in）的扩展部分，故所看到的子节点集合内容可能不同。

（注意：

管理单元是微软控制制台中可添加的应用程序，通常以控制台左窗格内的节点形式出现，其文件的扩展名为.msc，这些文件通常都保存在%WindowsRoot%\system32\文件夹内。

）

计算机配置（computerconfiguration）：

管理员可用组策略中的计算机配置节点来设置用于计算机的策略，而与谁登录到其该计算机上无关。

计算机配置一般包含软件设置、Windows设置、管理模板等子节点，但由于同样原因所看到的子节点集合可能不同。

有关其中的子节点说明如下：

●管理模板节点包含注册表的所有信息：

属于用户配置的信息保存于HKCU内；属于计算机的在HKLM内。

该节点下的名字空间由.adm文件或组策略扩展填充。

第一次使用该节点时会自动将.adm文件内容安装到注册表内。

创建管理模版节点时应当使用注册表的命名约定来填充命名空间：

即\CompanyName\product\version（或CompanyName\product&version）。

例如，Windows2000操作系统的设置将填充到\Microsoft\windows20000中。

而该节点下显示的用户接口由.adm文件填充。

Windows2000带来了总计5个.adm文件（即system.adm、inetres.adm、winnt.adm、windows.adm和common.adm）。

前二者是由win2k客户版自动安装的组策略、保存到组策略注册表的4个保留区；后3个只限用于管理以前的Windows版本（可通过系统策略编辑器编辑）。

●软件设置节点共有两个子节点：

\computerconfiguration\softwaresettings\施用于登录该计算机所有用户的软件设置，包括软件安装和独立软件供应商等子节点；\userconfiguration\softwaresettings\用于登录任何计算机的用户的软件设置，也包含同样的子节点。

●Windows设置节点也有两个子节点：

\computerconfiguration\windowssettings\用于登录该计算机所有用户的windows设置，包括安全设置和脚本等子节点；\userconfiguration\windowssettings\用于登录任何计算机的用户的windows设置，包含文件夹重定向、安全设置和脚本等子节点。

●软件安装：

帮助用户指定如何安装和维护组织内的软件，用户可管理活动目录容器（站点、域、组织单元）中GPO内的软件，其管理方式有二：

指派（assigned）或公布（published）。

1）指派是指让每个人计算机上的开始菜单内都有某应用程序的快捷图标（如销售部每个人的计算机上都有Excel快捷图标），用户登录后第一次打开快捷图标或打开工作表文件时，就会启动Excel的安装。

2）公布：

是为了让受GPO支配的人使用某应用程序而将该软件公布给用户的办法。

用户可以自己决定是否安装该软件（如从“控制面板”中“添加/删除程序”的公布列表内安装、或者打开与该应用程序关联的文件时进行安装）。

●组策略应用顺序

1）唯一的本地组策略对象；

2）站点组策略对象，可按所指定的顺序应用；

3）域组策略对象，可按所指定的顺序应用；

4）组织单元策略对象，从最大到最小（父到子）的组织单元顺序应用，在每个组织单元内则按所指定的顺序应用。

默认地，当策略不一致时，后应用的策略可替代先应用的策略；如果策略设置得不一致，迟、早的策略都对有效策略起作用。

●策略可被安全组成员过滤

组策略对象上安全组的ACE可被设置成未配置（无优先级）、允许或拒绝。

拒绝优先级高于允许优先级等对策略进行过滤。

●阻止策略继承

正常情况下可从上层站点、域或组织单元继承的策略可以在站点、域或组织单元级上被阻止继承权。

●强迫策略继承

可被子组织单元策略替代的策略可以在组策略对象级上被设置成不可替代的（NoOverride）。

且这种设置不能被阻止。

7.2.2建立组策略的前提

在建立组策略之前，首先需要有活动目录，没有活动目录组策略是根本无法实现的，组策略是在活动目录上的最大应用。

组策略不支持WindowsNT或者Windows9x。

客户端需要Windows2000Professional（最低要求），所有前台用户使用的操作系统必须是Windows2000。

7.2.3组策略对象（GroupPolicyObject）

组策略的配置信息都存储于组策略对象（GPO）中。

GPO共有两种类型：

非本地的GPO（存储在域控制器上，只能在AD环境中使用，并适用于与GPO相关站点、域或组织单元内的用户和计算机）和本地GPO（只有一个GPO存储在每台Windows2000计算机上，是非本地GPO设置的子集，且如果二者冲突非本地GPO设置替代本地GPO设置；否则，两者皆使用）。

组策略插接程序（snap-in）可认为是GPO文档的应用程序。

组策略对象和活动目录对象一样，对活动启录对象适用的所有情况对组策略对象也都适用。

例如，对用户对象可以设置许可：

谁可以访问，谁不可以访问等，对组策略也可以进行这样的设置。

组策略对象是在域中创建的，可以被连接到任何的站点（Site）、域（Domain）、组织单元（OrganizationUnit）（以上简称SDOU）上。

1．GPO的创建

1）打开某域的属性对话框，单击“组策略”选项卡，如图7-1所示。

图7-1组策略属性对话框

2）单击“新建”按钮，新建一个组策略对象，在窗口中可以看到“组策略对象的链接”栏。

例如，在“组策略对象链接”栏的文本框中输入“DesktopControl”，可看见一个GPOLink（GPO连接）列表，如图7-2所示。

图7-2新建GPO

2．删除GPO

选择管理员新建的GPOLink，单击“删除”按钮，出现图7-3。

选取上一个选项，回到“属性”对话框，刚建立的GPO就被删除掉了。

图7-3删除GPO

3．添加GPO

单击“添加”按钮，可以添加一个GPOLink，进入“全部”选项卡，如图7-4所示可看到当前所有GPO列表。

图7-4添加GPOLink

GPOLink负责将GPO链接到SDOU上。

在建立完成组策略之后，要便组策略生效有两个必要的条件：

（1）将GPO链接到SDOU上组策略生效的位置。

（2）蚀8且埋滋：

，必须创建GPO。

7.2.4组策略的实现

Windows2000中的组策略主要通过以下几种方式实现：

●管理模版（AdministrativeTemplate）

全部是基于注册表的策略设置。

●安全（Security）

负责管理本地、域、网络的安全选项。

●软件安装（SoftwareInstallation）

帮助我们实现集中的软件安装。

●脚本（script）

设置开机、关机、登录、离线等四种脚本。

●管理应用程序

指派、公布、省级、修复。

●文件重定向

负责在网络上存储用户文件。

1．管理模版

打开刚才创建的GPO，如图7-5所示，选择“编辑”按钮就可看到组策略对象的窗口，其中有“计算机配置”和“用户配置”两部分内容。

在它们之中又有“软件设置”、“Windows设置”和“管理模版”3部分，如图7-6所示。

图7-5编辑GPO

图7-6组策略对象窗口

打开管理模板中任意一个管理模板，选中其中的一个键值，打开一个策略的设置，可看到策略的设置末配置（NotConfigure）、启用（Enable）和禁用（Disable）有三种值，如图7-7所示。

图7-7策略的设置

默认的设置是末配置（NoConfigure），表示使用系统的现有值，即当前系统是什么值就使用什么值。

如果选中启用（Enable），表示要启用这个项目。

如果选中禁用（Disable），表示要禁用这个项目。

既然管理模板中都是注册表的策略设置，我们从注册表的角度来分析的话，末配置（NoConfigure）表示不对注册表做任何修改，启用（Enable）表示在注册表中添加一个键值为1的键，禁用（Disable）表示把注册表中这个键值设为0。

这就是注册表策略设置中三种键值的含义，

例如，要删除‘从[开始]菜单中删除“运行”菜单’策略，其默认设置是末配置。

现将其设置为启用，就表示要把“运行”从开始菜单中删除，如图7-8所示。

图7-8更改策略设置

如果想把“运行”恢复到开始菜单中，应该设置什么数值呢？

很多人认为只要把这策略改回为末配置就可以了。

实际上这是不对的，因选择末配置是表示使用系统的现有值。

当前系统的值是从[开始]菜单中删除“运行”菜单，所以只有把[开始]菜单中删除“运行”菜单的策略设置为禁用，才能把“运行”菜单重新加入到[开始]菜单中。

把GPO删除或者把GPOLink删除都可以把设置恢复原样，达到禁用的效果。

这表明组策略不会永远作用于注册表，只要做了以上三种变化之一，注册表就会得到恢复。

对每一个组策略都有一个说明选项卡，单击该卡，可以给出该策略的功能说明、设置方法和相关策略设置，这是一个非常好的帮助，如图7-9所示。

图7-9组策略的说明选项卡

对管理模板来说，它是基于注册表的架构，它的文件的扩展名是.adm，我们在[开始]→[搜索]菜单中查找*.adm，就会发现Windows2000默认情况下具有许多管理模板文件（.adm），如图7-10所示。

图7-10查找.adm文件的结果

这些管理模板文件都是文本文件，可以用记事本打开。

双击打开某一个管理模板文件，

可以看到管理模板文件的内容和格式是非常简单的，其内容不外乎是在注册表中加一个键，它的值是什么，它的帮助是什么，等等如图7-11所示。

图7-11conf.adm管理模版文件的内容

熟悉了.adm文件的写法后，可按照自己的需要来创建.adm文件。

可以右键单击选中管理模板，选择添加/删除模板就可以把自已的模板加进来，然后利用组策略生效设置。

管理模板是组策略中用于对系统进行管理的最灵活的手段。

当前系统内已有的内容可以拿来用，当前系统没有的内容也可以拿来用，只要有了.adm文件，就可以导入到组策略里分发出去，应用在网络上。

所以，组策略可以实现所有的管理目标。

2．脚本

（1）添加脚本：

如图7-12所示，在“计算机配置”中有启动/关闭脚本、在“用户配置”下有登录/注销脚本。

双击任何一个脚本，会出现一个添加脚本窗口。

在这里你可以添加多个脚本，如图7-13所示。

图7-12计算机配置中的脚本配置

图7-13添加脚本

（2）设置脚本参数：

对每个脚本都可进行参数设置。

设置好参数后，还可以用上移和下移按钮调整执行顺序。

注意：

任何时候只要能看到上移和下移按钮，就表明顺序是很重要的。

脚本和脚本之间的执行延时默认是10分钟。

如果不满意这个设置，可以自己来修改。

3．安全策略设置

安全策略设置包含计算机安全策略设置和用户安全策略设置。

打开“组策略”窗口，展开安全设置选项，如图7-14所示，可设置相关的安全策略。

图7-14安全设置选项

（1）账户策略

在安全设置中，首先看到“账户策略”，可在这里配置诸如口令长度、最小（有效）时间、最大时间、口令复杂性等密码策略；也可设置账户登录失败后输入几次错误口令就锁定账户、锁定多长时间后自动恢复等等账户锁定策略。

Windows2000中的账户策略主要是保证系统不被攻击，或者说是提高系统的抗攻击能力。

大多数管理员都会给账户策略做某些设置。

（2）本地策略

在本地策略中看到有两部分内容可供设置：

一是审核策略，就是前面谈到的访问任何一个活动目录对象或文件系统，欲在系统审核列表（SACL）中添加内容，都必须首先在域上打开审核策略。

如果审核没有打开，则在哪里设置审核都不会生效，如图7-15所示。

因此需要在这里设置审核策略。

图7-15本地策略

二是用户权力指派，这里可以给用户分配非常详细的权利，如关机、本机登录等权利。

同时可看到一个变化，就是本机登录、用某服务的身份登录等都有一个拒绝（Deny）选项。

这里同样遵循“否优先”的原则。

4．文件夹重定向

（1）只在用户配置中才有文件夹重定向。

展开用户配置下的“Windows设置”就可以看到文件夹重定向，如图7-16所示。

图7-16组策略中文件夹的重定向

在文件夹重定向里主要是把客户端计算机的应用程序、桌面、我的文档、[开始]菜单等重定向到网络服务器的文件夹中。

这样做的好处是当客户端的计算机损坏时，由于用户的数据是在服务器上，所以可得到保护。

（2）文件夹重定向的操作

有两种选择：

一是基本方式。

是将每一个人的文件夹重定向到同一个位置，即在服务器上为每一个用户创建一个文件夹，允许把重要的数据放到这个文件夹下。

这样做的好处是用户不必特意连接服务器并向它存放东西，而可将数据存放到本地“我的文档”下，这些数据就会自动存放到服务器上，如图7-17所示。

图7-17指定重定向类型及位置

另一种重定向是高级方式。

它以组为单位，为不同的用户组指定重定向位置。

具体选用哪种方式由用户确定，都可达到类似的效果，都像是在本地进行数据访问和存储一样，实际却是在网络上仅进行的。

文件夹重定向只能重定向用户自己创建的数据文档，而不会把系统数据重定向到网络服务器上，所以并不会引起服务器硬盘容量需求过大问题。

正是由于使用了文件夹重定向和远程安装应用程序，才使得Windows2000网络管理员维护网络成了一件很容易的事情。

5．组策略的生效时间

安装了Windows2000的计算机在开机时首先应用计算机的组策略，然后运行开机脚本，接下来就会出现登录窗口，用户就可以登录进去。

用户输入账户和密码后，首先进行用户身份的验证，成功后应用用户策略，再运行登录脚本，如图7-18所示。

图7-18组策略生效时间设置

6．用户策略的来源

在默认情况下用户策略的来源有三个地方，即站点，域和组织单元。

如果用户计算机所属的站点设置了组略：

用户将从站点上继承组策略；如果用户计算机所属的域上设置了组策略，用户会从域上继承组策略。

同一时刻客户端计算机只能属于一个站点或一个域。

OU是可以嵌套的，客户端计算机可同时继承多个OU的策略。

默认请况下，这三处设置的策略都被用户继承了下来。

如果策略继承时发生了冲突，则近处的设置覆盖远处的设置，这是冲突时组策略的继承原则。

策略的冲突是指同时继承的两个策略的设置相反，这时就需要应用策略继承的原则来解决。

7．策略冲突

在组策略的五种数据类型中，基于注册表的策略设置有末配置（NotConfigure）、启用（Enable）和禁用（Disable）三个数值。

末配置和启用、禁用都不冲突，而启用和禁用冲突。

任何SDOU上的组策略会影响相应的用户和计算机：

1）站点上设置的组策略，不管用户或计算机属于哪个域，只要它属于该站点，就会从站点上继承组策略。

2）域上设置的组策略，会影响该域内的所有用户和计算机。

3）OU上置的组策略，会影响该OU内的所有用户和计算机。

8．更改组策略的默认设置

打开组策略窗口，在该窗口下面有一个“阻止策略继承”复选框，如图7-19所示。

默认下是处于未选中的状态。

如果选中了该选项，就意味着不继承父对象上任何组策略对象（GPO）的策略。

例如，域管理员在域上做了组策略设置，而一个部门（0U）因特殊情况不想应用域上的组策略设置，这时部门（0U）管理员就可以选中“阻止策略继承”复选框来达到此目的。

图7-19组织组策略继承

9．强制继承

选中一个组策略对象，右键选择“选项”，就可以看到第一个禁止替代（NoOverride）复选框。

如图7-20所示。

图7-20组策略的禁止替代

禁止替代：

防止其它GPO替代这个GPO中的策略集。

换句话说，阻止了该容器覆盖父容器上的设置。

如果设置了禁止替代，则下面所有的子容器上做的组策略设置都不能和父容器上所做的组策略设置冲突。

如果子容器和父容器的设置发生冲突，子容器的设置无效。

从替代的特点可以看到，这种设置是网络管理员进行统一管理的手段：

网络管理员要求整个网络有什么样的规则和大家必须遵守什么样的设置等。

这种强制继承是针对某一个特定的组策略对象而言的，就是说这种强制不会扩散到另外的组策略上。

10．继承的生效级别

当父容器和子容器都选中了NoOverride选项，则高的禁止替代覆盖低的禁止替代设置。

例如，域管理员设置了一个禁止替代，OU管理员又设置了一个禁止替代，则域管理员设置的禁止替代生效。

禁止替代和阻止继承相遇，例如域管理员在域上一个组策略对象上设置了“禁止替代”，OU管理员设置了一个“阻止继承”，这时NoOverride会覆盖BlockInheritance，也就是说NoOverride的优先级比BlockInheritance的优先级高。

从NoOverride和BlockInheritance修改继承的手段来说，NoOverride实现的是统一的管理，BlockInheritance实现的是灵活性，这两者并不矛盾。

11．组策略对象链接（GPOLink）的优先级

一个SDOU上可以连接多个GPO，即创建多个GPO链接。

当一个SDOU上连接了多个GPO时，就存在一个优先级问题，即它们的关系是怎样的。

我们从组策略窗口中下方可以看到；列表中较高位置的GPO具有较高的优先级。

所以一个SDOU上多个GPO的执行顺序是自下而上的。

因为高级的组策略对象会覆盖低级