WindowsServer组策略详解要点.docx

WindowsServer组策略详解要点.docx

《WindowsServer组策略详解要点.docx》由会员分享，可在线阅读，更多相关《WindowsServer组策略详解要点.docx（77页珍藏版）》请在冰豆网上搜索。

WindowsServer组策略详解要点

组策略详解

更新时间:

2009年1月

应用到:

WindowsServer2008

可以使用WindowsServer 2008组策略来管理计算机和用户组配置，包括以下各项所对应的选项：

基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。

WindowsServer 2008中新增的组策略首选项是二十多个组策略扩展，用于扩展组策略对象（GPO）中的可配置策略设置的范围。

与组策略设置相比，首选项是非强制性的。

用户可以在初始部署后更改首选项。

有关组策略首选项的信息，请参阅组策略首选项概述（可能为英文网页）。

通过使用组策略，您可以大大降低组织的总拥有成本。

各种各样的因素可能会使组策略设计变得非常复杂，例如，大量可用的策略设置、多个策略之间的交互以及继承选项。

通过仔细规划、设计、测试并部署基于组织业务要求的解决方案，您可以提供组织所需的标准化功能、安全性以及管理控制。

组策略概述

组策略在运行WindowsServer 2008、WindowsVista、WindowsServer 2003和Windows XP的计算机上启用基于ActiveDirectory的用户和计算机设置更改和配置管理。

除了使用组策略为用户和计算机组定义配置以外，还可以配置很多服务器特定的操作和安全设置，以便使用组策略帮助管理服务器计算机。

您创建的组策略设置包含在GPO中。

若要创建和编辑GPO，请使用组策略管理控制台（GPMC）。

通过使用GPMC将GPO链接到选定ActiveDirectory站点、域和组织单位（OU），您可以将GPO中的策略设置应用于这些ActiveDirectory对象中的用户和计算机。

OU是可以分配组策略设置的最低级别的ActiveDirectory容器。

为指导您的组策略设计决策，您需要清楚地了解组织的业务需求、服务级别协议以及安全、网络和IT要求。

通过分析当前的环境和用户要求，使用组策略定义要实现的业务目标，以及按照这些准则设计组策略基础结构，您可以确定最符合组织需要的方法。

用于实现组策略解决方案的过程

用于实现组策略解决方案的过程涉及规划、设计、部署和维护解决方案。

在规划组策略设计时，请确保设计OU结构以简化组策略管理并符合服务级别协议。

应制订使用GPO的正确操作步骤。

确保您了解组策略互操作性问题，并确定是否打算使用组策略进行软件部署。

在设计阶段：

∙定义组策略的应用范围。

∙确定适用于所有企业用户的策略设置。

∙基于角色和位置对用户和计算机进行分类。

∙基于用户和计算机要求规划桌面配置。

规划完善的设计有助于确保成功部署组策略。

部署阶段从测试环境中的暂存过程开始。

该过程包括：

∙创建标准桌面配置。

∙筛选GPO的应用范围。

∙指定默认组策略继承的例外情况。

∙委派组策略管理。

∙使用组策略建模评估有效的策略设置。

∙使用组策略结果评估这些结果。

暂存过程至关重要。

应在测试环境中全面测试组策略实现，然后再将其部署到生产环境中。

完成暂存和测试后，请使用GPMC将GPO迁移到生产环境中。

应考虑循环反复的组策略实现：

并非部署100种新组策略设置，而是最初暂存并仅部署几种策略设置以验证组策略基础结构是否正常工作。

最后，制订使用组策略以及通过GPMC解决GPO问题的控制过程以准备维护组策略。

备注

Microsoft高级组策略管理（AGPM）通过提供全面的更改控制和增强的GPO管理来扩展GPMC功能。

有关AGPM的详细信息，请访问Microsoft桌面优化包（MDOP）网站（

在设计组策略解决方案之前需要执行的操作

在设计组策略实现之前，您需要了解当前的组织环境并需要在以下几个方面执行预备步骤：

∙ActiveDirectory：

确保林中所有域的ActiveDirectoryOU设计都支持应用组策略。

有关详细信息，请参阅本指南后面部分中的设计支持组策略的OU结构。

∙网络：

确保您的网络符合更改和配置管理技术的要求。

例如，由于组策略使用完全限定的域名，因此，您必须在林中运行目录名称服务（DNS）才能正确处理组策略。

∙安全：

获取域中当前使用的安全组的列表。

在委派组织单位管理责任以及创建需要安全组筛选的设计时，应与安全管理员紧密合作。

有关筛选GPO的详细信息，请参阅本指南后面部分中的定义组策略的应用范围中的“将GPO应用于选定的组（筛选）”。

∙IT要求：

获取域中的管理所有者以及企业的域和OU管理标准的列表。

这样，您便可以制订正确的委派计划并确保正确继承组策略。

备注

组策略取决于网络、安全和ActiveDirectory；因此，了解这些技术是至关重要的。

强烈建议先熟悉这些概念，然后再实现组策略。

组策略的管理要求

若要使用组策略，您的组织必须使用ActiveDirectory，并且目标桌面和服务器计算机必须运行WindowsServer 2008、WindowsVista、WindowsServer 2003或Windows XP。

默认情况下，只有DomainAdmins或EnterpriseAdmins组的成员能够创建和链接GPO，但您可以将此任务委派给其他用户。

有关组策略管理要求的详细信息，请参阅本指南后面部分中的委派组策略管理。

GPMC

GPMC跨组织的多个林以统一的方式管理组策略的各个方面。

可以使用GPMC管理网络中的所有GPO、WindowsManagementInstrumentation（WMI）筛选器以及与组策略有关的权限。

可以将GPMC视为主要的组策略访问点，GPMC界面中提供了所有组策略管理工具。

GPMC包含一组用于管理组策略的可编脚本界面以及一个基于MMC的用户界面（UI）。

WindowsServer 2008附带提供了32位和64位版本的GPMC。

GPMC提供了以下功能：

∙导入和导出GPO。

∙复制和粘贴GPO。

∙备份和还原GPO。

∙搜索现有的GPO。

∙报告功能。

∙组策略建模。

用于模拟策略的结果集（RsoP）数据以规划组策略部署，然后再在生产环境中实现组策略。

∙组策略结果。

用于获取RSoP数据以查看GPO交互和解决组策略部署问题。

∙支持迁移表以便于跨域和林导入和复制GPO。

迁移表是一个文件，可以将对源GPO中的用户、组、计算机和通用命名约定（UNC）路径的引用映射到目标GPO中的新值。

∙在HTML报告中报告GPO设置和RSoP数据，您可以保存和打印这些报告。

∙可编脚本的界面，可以在其中执行GPMC中提供的所有操作。

不过，无法使用脚本编辑GPO中的各个策略设置。

备注

WindowsServer 2008不包含GPMC早期版本提供的GPMC示例脚本。

不过，您可以从组策略管理控制台示例脚本（可能为英文网页）中下载适用于WindowsServer 2008的GPMC示例脚本。

有关使用GPMC示例脚本的详细信息，请参阅本指南后面部分中的使用脚本管理组策略。

使用GPMC可大大提高组策略部署的可管理性；由于它提供了改进且简化的组策略管理界面，您可以充分利用组策略的强大功能。

设计支持组策略的OU结构

在ActiveDirectory环境中，可通过将GPO链接到站点、域或OU来分配组策略设置。

通常，大多数GPO是在OU级别分配的，因此，请确保OU结构支持基于组策略的客户端管理策略。

您还可以在域级别应用某些组策略设置，尤其是密码策略等设置。

只有很少的策略设置是在站点级别应用的。

设计完善的OU结构可反映组织的管理结构并利用GPO继承，这种结构可以简化组策略的应用过程。

例如，设计完善的OU结构可防止复制某些GPO，以便将这些GPO应用于组织的不同部分。

如果可能，请创建OU以委派管理权限和帮助实现组策略。

OU设计要求综合考虑独立于组策略需求委派管理权限的要求以及组策略需应用范围需求。

以下OU设计建议解决了委派和作用域问题：

∙委派管理权限：

可以在域中创建OU，并将对特定OU的管理控制委派给特定用户或组。

OU结构可能会受委派管理权限的要求的影响。

∙应用组策略：

在设计OU结构时，应主要考虑要管理的对象。

您可能需要创建一种结构，按靠近顶级的工作站、服务器和用户组织OU。

根据您的管理模型，您可以将基于地理位置的OU视为其他OU的子或父OU，然后为每个位置复制这种结构以避免在不同的站点中进行复制。

只有在以下情况下才能在下面添加OU：

这种做可使组策略应用更清晰，或者您需要在这些级别下面委派管理。

通过使用OU包含同类对象（如用户或计算机对象，但不能同时包含两者）的结构，您可以轻松禁用GPO中不应用于特定类型对象的部分。

图1中说明的OU设计方法降低了复杂性，并提高了组策略的应用速度。

请记住，链接到高层OU结构的GPO是默认继承的，因而不需要将GPO复制或链接到多个容器。

在设计ActiveDirectory结构时，最重要的注意事项是简化管理和委派过程。

将组策略应用于新用户和计算机帐户

默认情况下，新用户和计算机帐户是在CN=Users和CN=Computers容器中创建的。

无法将组策略直接应用于这些容器，但它们会继承链接到域的GPO。

若要将组策略应用于默认Users和Computers容器，您必须使用新的Redirusr.exe和Redircomp.exe工具。

Redirusr.exe（用于用户帐户）和Redircomp.exe（用于计算机帐户）是WindowsServer 2008附带提供的两个工具。

可以使用这些工具更改新用户和计算机帐户的默认创建位置，以便更轻松地为新创建的用户和计算机对象直接指定GPO作用域。

这些工具位于%windir%\system32中包含ActiveDirectory服务角色的服务器上。

通过为每个域运行一次Redirusr.exe和Redircomp.exe，域管理员可以指定在创建所有新用户和计算机帐户时将其放置到的OU。

这样，管理员就可以使用组策略管理这些未分配的帐户，然后再将其分配给最终放置这些帐户的OU。

请考虑使用组策略提高新用户和计算机帐户的安全性，以限制用于这些帐户的OU。

有关重定向用户和计算机帐户的详细信息，请参阅Microsoft知识库中的文章324949“在WindowsServer 2003域中重定向用户和计算机容器”（

站点和复制注意事项

在确定适合的策略设置时，请注意ActiveDirectory的物理特性，其中包括站点的地理位置、域控制器的物理位置以及复制速度。

GPO存储在ActiveDirectory和每个域控制器上的Sysvol文件夹中。

这些位置具有不同的复制机制。

如果怀疑可能未在域控制器中复制GPO，请使用ResourceKit工具组策略对象（Gpotool.exe）帮助诊断问题。

有关Gpotool.exe的详细信息，请参阅“Microsoft帮助和支持”（WindowsServer 2008ResourceKit工具，请参阅Microsoft下载中心上的“WindowsServer 2008ResourceKit工具”（

如果出现慢速链接问题（通常是到远程站点的客户端的链接），问题可能出在域控制器位置上。

如果客户端和验证域控制器之间的网络链接速度低于默认慢速链接阈值500千比特/秒，则仅默认应用管理模板（基于注册表）设置、新无线策略扩展和安全设置。

不会默认应用所有其他组策略设置。

不过，您可以使用组策略修改此行为。

可以使用组策略慢速链接检测策略，为GPO中的用户和计算机内容更改慢速链接阈值。

如有必要，您还可以调整在慢速链接阈值以下处理的组策略扩展。

甚至可以根据需要，将本地域控制器放在远程位置以满足您的管理需要。

符合服务级别协议

某些IT组使用服务级别协议来指定应运行的服务。

例如，服务级别协议可能规定了计算机启动和登录所需的最长时间、在用户登录多长时间后才能使用计算机，等等。

服务级别协议通常会设置服务响应标准。

例如，服务级别协议可能定义了允许用户接收新软件应用程序或访问以前禁用的功能的时间长度。

可能会影响服务响应的问题有：

站点和复制拓扑、域控制器位置以及组策略管理员位置。

若要缩短处理GPO所需的时间，请考虑使用下面的某种策略：

∙如果GPO仅包含计算机配置或用户配置设置，请禁用不适用的策略设置部分。

在执行此操作后，目标计算机不会扫描禁用的GPO部分，从而缩短了处理时间。

有关禁用GPO的某些部分的信息，请参阅本指南后面的禁用GPO中的用户配置或计算机配置设置。

∙如果可能，请将一些较小的GPO合并为一个GPO。

这可减少应用于用户或计算机的GPO数量。

通过将较少的GPO应用于用户或计算机，可以缩短启动或登录时间，并且可以更轻松地解决策略结构问题。

∙对GPO所做的更改将复制到域控制器中，并导致将新的内容下载到客户端或目标计算机上。

如果需要经常更改很大或很复杂的GPO，请考虑创建一个新GPO，其中仅包含定期更新的部分。

请测试这种方法以确定最大限度减少对网络的影响和缩短目标计算机的处理时间能带来多大好处，而使GPO结构变得更复杂而容易出现故障的可能性有多大，是否利大于弊。

∙您应该实现组策略更改控制过程，并记录对GPO所做的任何更改。

这可能有助于解决和纠正出现的GPO问题。

这种做还有助于满足要求保留日志的服务级别协议的要求。

请考虑使用AGPM来实现GPO更改控制过程和管理GPO。

定义组策略目标

在规划组策略部署时，请确定具体的业务要求以及组策略如何帮助实现这些要求。

然后，您可以确定最适合的策略设置和配置选项以满足您的要求。

每个组策略实现的目标因用户位置、工作需要、计算机体验和企业安全要求而异。

在某些情况下，您可能会从用户的计算机中删除一些功能以防止其修改系统配置文件（这可能会中断计算机运行），或者删除并非用户工作时必不可少的应用程序。

在其他情况下，您可能会使用组策略配置操作系统选项、指定InternetExplorer设置或制订安全策略。

清楚地了解当前的组织环境和要求有助于设计出最符合组织需要的计划。

应收集有关用户类型（操作工人和数据输入员）以及现有和计划的计算机配置的的信息，这一点至关重要。

您可以根据这些信息来定义组策略目标。

评估现有的企业行为准则

为帮助您确定要使用的适合组策略设置，请先评估企业环境中的当前行为准则，其中包括如下因素：

∙各种类型的用户的用户要求。

∙当前IT角色，如划分到不同管理员组的各种管理任务。

∙现有的企业安全策略。

∙服务器和客户端计算机的其他安全要求。

∙软件分发模型。

∙网络配置。

∙数据存储位置和步骤。

∙当前的用户和计算机管理。

定义组策略目标

接下来，请确定以下内容（作为定义组策略目标的一部分）：

∙每个GPO的用途。

∙每个GPO的所有者—请求策略设置并负责进行维护的人。

∙要使用的GPO数量。

∙要链接每个GPO的相应容器（站点、域或OU）。

∙每个GPO中包含的策略设置类型以及用户和计算机的相应策略设置。

∙何时设置组策略默认处理顺序的例外情况。

∙何时设置组策略的筛选选项。

∙要安装的软件应用程序及其位置。

∙用于重定向文件夹的网络共享。

∙要运行的登录、注销、启动和关机脚本的位置

规划持续的组策略管理

在设计和实现组策略解决方案时，规划持续的组策略管理也是非常重要的。

通过确定管理步骤以跟踪和管理GPO，可以确保按预定方式实现所有更改。

若要简化和控制持续的组策略管理，我们建议您：

∙始终使用以下预部署过程暂存组策略部署：

o使用组策略建模了解新GPO如何与现有GPO进行交互。

o在模拟生产环境的测试环境中部署新GPO。

o使用组策略结果了解在测试环境中实际应用的GPO设置。

∙使用GPMC定期备份GPO。

∙使用GPMC在组织中管理组策略。

∙除非必要，否则不要修改默认域策略或默认域控制器策略。

相反，应在域级别创建新的GPO，并对其进行设置以覆盖默认策略设置。

∙为GPO定义有意义的命名约定，以清楚地说明每个GPO的用途。

∙仅为每个GPO委派一个管理员。

这可防止一个管理员的工作被另一个管理员的工作所覆盖。

在WindowsServer 2008和GPMC中，您可以将编辑和链接GPO的权限委派给不同的管理员组。

如果未确定适合的GPO控制步骤，委派的管理员可能具有重复的GPO设置，或者创建的GPO与另一个管理员设置的策略设置发生冲突或不符合企业标准。

这些冲突可能会对用户的桌面环境产生不利影响，增加拨打的支持电话次数并且更难解决GPO问题。

确定互操作性问题

在混合环境中规划组策略实现时，您需要考虑可能出现的互操作性问题。

WindowsServer 2008和WindowsVista包含很多新组策略设置，WindowsServer 2003或Windows XP中不使用这些设置。

不过，即使组织中的客户端和服务器计算机主要运行的是WindowsServer 2003或Windows XP，您也应该使用WindowsServer 2008中包含的GPMC，因为它包含最新的策略设置。

如果将包含较新策略设置的GPO应用于不支持该策略设置的以前操作系统，并不会出现问题。

运行WindowsServer 2003或Windows XPProfessional的目标计算机直接忽略仅在WindowsServer 2008或WindowsVista中支持的策略设置。

若要确定将哪些策略设置应用于哪些操作系统，请在策略设置说明中查看“支持的平台”信息，它说明了哪些操作系统可以读取该策略设置。

确定何时应用组策略更改

由于对GPO的更改必须先复制到相应的域控制器中，因此可能不会在用户桌面上立即应用对组策略设置的更改。

此外，客户端使用90分钟刷新周期（随机偏差最多约为30分钟）来检索组策略。

因此，很少会立即应用更改的组策略设置。

GPO组件存储在ActiveDirectory和域控制器的Sysvol文件夹中。

将GPO复制到其他域控制器是由两个独立机制完成的：

∙ActiveDirectory中的复制是由ActiveDirectory的内置复制系统控制的。

默认情况下，在同一站点的域控制器之间复制时，通常需要不到一分钟的时间。

如果您的网络速度比LAN慢，此过程可能会较慢。

∙Sysvol文件夹复制是由文件复制服务（FRS）或分布式文件系统复制（DFSR）控制的。

在站点中，每15分钟进行一次FRS复制。

如果域控制器位于不同的站点中，则会按设置的间隔根据站点拓扑和复制计划执行复制过程；最低间隔为15分钟。

备注

如果务必为特定站点中的特定用户或计算机组立即应用更改，您可以连接到与这些对象最接近的域控制器，然后在该域控制器上进行配置更改，以使这些用户最先获得更新的策略设置。

策略刷新间隔

刷新组策略的主要机制是启动和登录。

还会定期按其他间隔刷新组策略。

策略刷新间隔影响应用GPO更改的速度。

默认情况下，运行WindowsServer 2008、WindowsVista、WindowsServer 2003和Windows XP的客户端和服务器每90分钟检查一次GPO更改，随机偏差最多为30分钟。

运行WindowsServer 2008或WindowsServer 2003的域控制器将每5分钟检查一次计算机策略更改。

可以使用以下某种策略设置更改该轮询频率：

“计算机的组策略刷新间隔”、“域控制器组的组策略刷新间隔”或“用户的组策略刷新间隔”。

不过，建议不要缩短刷新间隔时间，因为这可能会增加网络通信量并在域控制器上产生额外的负载。

触发组策略刷新

如有必要，您可以从本地计算机中手动触发组策略刷新，而无需等待执行自动后台刷新。

为此，您可以在命令行中键入gpupdate以刷新用户或计算机策略设置。

无法使用GPMC触发组策略刷新。

gpupdate将在运行该命令的本地计算机上触发后台策略刷新。

有关gpupdate命令的详细信息，请参阅本指南后面的更改组策略刷新间隔。

备注

某些策略设置（如文件夹重定向和软件应用程序分配）要求用户注销并重新登录，然后这些设置才会生效。

只有在重新启动计算机后，才会安装分配给计算机的软件应用程序。

确定与软件安装有关的问题

虽然可以使用组策略安装软件应用程序（尤其是小型或中型组织），但您需要确定它是否为最符合组织需要的解决方案。

在使用组策略安装软件应用程序时，只有在重新启动计算机或用户登录后，才会安装或更新分配的应用程序。

使用SystemCenterConfigurationManager2007（以前称为SystemsManagementServer（SMS））部署软件可提供基于组策略的软件部署中没有的企业级功能，例如，基于清单确定目标、状态报告和计划。

因此，您可以使用组策略配置桌面和设置系统安全和访问权限，但使用ConfigurationManager传送软件应用程序。

这种方法允许将应用程序安装安排在非核心工作时间进行，从而提供了带宽控制。

具体选择哪些工具取决于您的要求、您的环境以及是否需要使用ConfigurationManager提供的附加功能和安全性。

有关ConfigurationManager的信息，请参阅SystemCenterConfigurationManager（

设计组策略模型

您的主要目标是，根据业务要求设计GPO结构。

应牢记组织中的计算机和用户，并确定必须在组织中强制实施的策略设置以及适用于所有用户或计算机的策略设置。

还要根据类型、功能或工作角色确定用于配置计算机或用户的策略设置。

然后，将这些不同类型的策略设置划分到GPO中，并将其链接到相应的ActiveDirectory容器。

还要牢记组策略继承模型以及确定优先级的方式。

默认情况下，较低级别的所有OU将继承链接到较高级别Ac