WindowsServer组策略详解.docx

1、WindowsServer组策略详解组策略详解更新时间: 2009年1月应用到: Windows Server 2008可以使用 Windows Server2008 组策略来管理计算机和用户组配置，包括以下各项所对应的选项：基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。Windows Server2008 中新增的组策略首选项是二十多个组策略扩展，用于扩展组策略对象 (GPO) 中的可配置策略设置的范围。与组策略设置相比，首选项是非强制性的。用户可以在初始部署后更改首选项。有关组策略首选项的信息，请参阅组策略首选项概述（可能为英文网页）。通过使用组策略，您可以大大降

2、低组织的总拥有成本。各种各样的因素可能会使组策略设计变得非常复杂，例如，大量可用的策略设置、多个策略之间的交互以及继承选项。通过仔细规划、设计、测试并部署基于组织业务要求的解决方案，您可以提供组织所需的标准化功能、安全性以及管理控制。组策略概述组策略在运行 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 的计算机上启用基于 Active Directory 的用户和计算机设置更改和配置管理。除了使用组策略为用户和计算机组定义配置以外，还可以配置很多服务器特定的操作和安全设置，以便使用组策略帮助管理服务器计算机。您创

3、建的组策略设置包含在 GPO 中。若要创建和编辑 GPO，请使用组策略管理控制台 (GPMC)。通过使用 GPMC 将 GPO 链接到选定 Active Directory 站点、域和组织单位 (OU)，您可以将 GPO 中的策略设置应用于这些 Active Directory 对象中的用户和计算机。OU 是可以分配组策略设置的最低级别的 Active Directory 容器。为指导您的组策略设计决策，您需要清楚地了解组织的业务需求、服务级别协议以及安全、网络和 IT 要求。通过分析当前的环境和用户要求，使用组策略定义要实现的业务目标，以及按照这些准则设计组策略基础结构，您可以确定最符合组织

4、需要的方法。用于实现组策略解决方案的过程用于实现组策略解决方案的过程涉及规划、设计、部署和维护解决方案。 在规划组策略设计时，请确保设计 OU 结构以简化组策略管理并符合服务级别协议。应制订使用 GPO 的正确操作步骤。确保您了解组策略互操作性问题，并确定是否打算使用组策略进行软件部署。在设计阶段： 定义组策略的应用范围。确定适用于所有企业用户的策略设置。 基于角色和位置对用户和计算机进行分类。 基于用户和计算机要求规划桌面配置。规划完善的设计有助于确保成功部署组策略。部署阶段从测试环境中的暂存过程开始。该过程包括： 创建标准桌面配置。 筛选 GPO 的应用范围。 指定默认组策略继承的例外情况

5、。 委派组策略管理。 使用组策略建模评估有效的策略设置。 使用组策略结果评估这些结果。暂存过程至关重要。应在测试环境中全面测试组策略实现，然后再将其部署到生产环境中。完成暂存和测试后，请使用 GPMC 将 GPO 迁移到生产环境中。应考虑循环反复的组策略实现：并非部署 100 种新组策略设置，而是最初暂存并仅部署几种策略设置以验证组策略基础结构是否正常工作。最后，制订使用组策略以及通过 GPMC 解决 GPO 问题的控制过程以准备维护组策略。备注 Microsoft 高级组策略管理 (AGPM) 通过提供全面的更改控制和增强的 GPO 管理来扩展 GPMC 功能。有关 AGPM 的详细信息，请

6、访问 Microsoft 桌面优化包 (MDOP) 网站 ( 在设计组策略解决方案之前需要执行的操作在设计组策略实现之前，您需要了解当前的组织环境并需要在以下几个方面执行预备步骤：Active Directory：确保林中所有域的 Active Directory OU 设计都支持应用组策略。有关详细信息，请参阅本指南后面部分中的设计支持组策略的 OU 结构。网络：确保您的网络符合更改和配置管理技术的要求。例如，由于组策略使用完全限定的域名，因此，您必须在林中运行目录名称服务 (DNS) 才能正确处理组策略。 安全：获取域中当前使用的安全组的列表。在委派组织单位管理责任以及创建需要安全组筛选的

7、设计时，应与安全管理员紧密合作。有关筛选 GPO 的详细信息，请参阅本指南后面部分中的定义组策略的应用范围中的“将 GPO 应用于选定的组（筛选）”。IT 要求：获取域中的管理所有者以及企业的域和 OU 管理标准的列表。这样，您便可以制订正确的委派计划并确保正确继承组策略。备注 组策略取决于网络、安全和 Active Directory；因此，了解这些技术是至关重要的。强烈建议先熟悉这些概念，然后再实现组策略。 组策略的管理要求若要使用组策略，您的组织必须使用 Active Directory，并且目标桌面和服务器计算机必须运行 Windows Server2008、Windows Vista

8、、Windows Server2003 或 WindowsXP。 默认情况下，只有 Domain Admins 或 Enterprise Admins 组的成员能够创建和链接 GPO，但您可以将此任务委派给其他用户。有关组策略管理要求的详细信息，请参阅本指南后面部分中的委派组策略管理。GPMCGPMC 跨组织的多个林以统一的方式管理组策略的各个方面。可以使用 GPMC 管理网络中的所有 GPO、Windows Management Instrumentation (WMI) 筛选器以及与组策略有关的权限。可以将 GPMC 视为主要的组策略访问点，GPMC 界面中提供了所有组策略管理工具。 GP

9、MC 包含一组用于管理组策略的可编脚本界面以及一个基于 MMC 的用户界面 (UI)。Windows Server2008 附带提供了 32 位和 64 位版本的 GPMC。GPMC 提供了以下功能：导入和导出 GPO。复制和粘贴 GPO。备份和还原 GPO。搜索现有的 GPO。报告功能。 组策略建模。用于模拟策略的结果集 (RsoP) 数据以规划组策略部署，然后再在生产环境中实现组策略。组策略结果。用于获取 RSoP 数据以查看 GPO 交互和解决组策略部署问题。支持迁移表以便于跨域和林导入和复制 GPO。迁移表是一个文件，可以将对源 GPO 中的用户、组、计算机和通用命名约定 (UNC)

10、路径的引用映射到目标 GPO 中的新值。在 HTML 报告中报告 GPO 设置和 RSoP 数据，您可以保存和打印这些报告。可编脚本的界面，可以在其中执行 GPMC 中提供的所有操作。不过，无法使用脚本编辑 GPO 中的各个策略设置。备注 Windows Server2008 不包含 GPMC 早期版本提供的 GPMC 示例脚本。不过，您可以从组策略管理控制台示例脚本（可能为英文网页）中下载适用于 Windows Server2008 的 GPMC 示例脚本。有关使用 GPMC 示例脚本的详细信息，请参阅本指南后面部分中的使用脚本管理组策略。 使用 GPMC 可大大提高组策略部署的可管理性；由

11、于它提供了改进且简化的组策略管理界面，您可以充分利用组策略的强大功能。 设计支持组策略的 OU 结构在 Active Directory 环境中，可通过将 GPO 链接到站点、域或 OU 来分配组策略设置。通常，大多数 GPO 是在 OU 级别分配的，因此，请确保 OU 结构支持基于组策略的客户端管理策略。您还可以在域级别应用某些组策略设置，尤其是密码策略等设置。只有很少的策略设置是在站点级别应用的。设计完善的 OU 结构可反映组织的管理结构并利用 GPO 继承，这种结构可以简化组策略的应用过程。例如，设计完善的 OU 结构可防止复制某些 GPO，以便将这些 GPO 应用于组织的不同部分。如果

12、可能，请创建 OU 以委派管理权限和帮助实现组策略。OU 设计要求综合考虑独立于组策略需求委派管理权限的要求以及组策略需应用范围需求。以下 OU 设计建议解决了委派和作用域问题：委派管理权限：可以在域中创建 OU，并将对特定 OU 的管理控制委派给特定用户或组。OU 结构可能会受委派管理权限的要求的影响。 应用组策略：在设计 OU 结构时，应主要考虑要管理的对象。您可能需要创建一种结构，按靠近顶级的工作站、服务器和用户组织 OU。根据您的管理模型，您可以将基于地理位置的 OU 视为其他 OU 的子或父 OU，然后为每个位置复制这种结构以避免在不同的站点中进行复制。只有在以下情况下才能在下面添加

13、 OU：这种做可使组策略应用更清晰，或者您需要在这些级别下面委派管理。通过使用 OU 包含同类对象（如用户或计算机对象，但不能同时包含两者）的结构，您可以轻松禁用 GPO 中不应用于特定类型对象的部分。图 1 中说明的 OU 设计方法降低了复杂性，并提高了组策略的应用速度。请记住，链接到高层 OU 结构的 GPO 是默认继承的，因而不需要将 GPO 复制或链接到多个容器。在设计 Active Directory 结构时，最重要的注意事项是简化管理和委派过程。将组策略应用于新用户和计算机帐户默认情况下，新用户和计算机帐户是在 CN=Users 和 CN=Computers 容器中创建的。无法将组

14、策略直接应用于这些容器，但它们会继承链接到域的 GPO。若要将组策略应用于默认 Users 和 Computers 容器，您必须使用新的 Redirusr.exe 和 Redircomp.exe 工具。 Redirusr.exe（用于用户帐户）和 Redircomp.exe（用于计算机帐户）是 Windows Server2008 附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置，以便更轻松地为新创建的用户和计算机对象直接指定 GPO 作用域。这些工具位于 %windir%system32 中包含 Active Directory 服务角色的服务器上。 通过为每个域运行

15、一次 Redirusr.exe 和 Redircomp.exe，域管理员可以指定在创建所有新用户和计算机帐户时将其放置到的 OU。这样，管理员就可以使用组策略管理这些未分配的帐户，然后再将其分配给最终放置这些帐户的 OU。请考虑使用组策略提高新用户和计算机帐户的安全性，以限制用于这些帐户的 OU。有关重定向用户和计算机帐户的详细信息，请参阅 Microsoft 知识库中的文章 324949“在 Windows Server2003 域中重定向用户和计算机容器”( 站点和复制注意事项在确定适合的策略设置时，请注意 Active Directory 的物理特性，其中包括站点的地理位置、域控制器的物

16、理位置以及复制速度。GPO 存储在 Active Directory 和每个域控制器上的 Sysvol 文件夹中。这些位置具有不同的复制机制。如果怀疑可能未在域控制器中复制 GPO，请使用 Resource Kit 工具组策略对象 (Gpotool.exe) 帮助诊断问题。 有关 Gpotool.exe 的详细信息，请参阅“Microsoft 帮助和支持”( Windows Server2008 Resource Kit 工具，请参阅 Microsoft 下载中心上的“Windows Server2008 Resource Kit 工具”(如果出现慢速链接问题（通常是到远程站点的客户端的链接）

17、，问题可能出在域控制器位置上。如果客户端和验证域控制器之间的网络链接速度低于默认慢速链接阈值 500 千比特/秒，则仅默认应用管理模板（基于注册表）设置、新无线策略扩展和安全设置。不会默认应用所有其他组策略设置。不过，您可以使用组策略修改此行为。可以使用组策略慢速链接检测策略，为 GPO 中的用户和计算机内容更改慢速链接阈值。如有必要，您还可以调整在慢速链接阈值以下处理的组策略扩展。甚至可以根据需要，将本地域控制器放在远程位置以满足您的管理需要。符合服务级别协议某些 IT 组使用服务级别协议来指定应运行的服务。例如，服务级别协议可能规定了计算机启动和登录所需的最长时间、在用户登录多长时间后才能

18、使用计算机，等等。服务级别协议通常会设置服务响应标准。例如，服务级别协议可能定义了允许用户接收新软件应用程序或访问以前禁用的功能的时间长度。可能会影响服务响应的问题有：站点和复制拓扑、域控制器位置以及组策略管理员位置。若要缩短处理 GPO 所需的时间，请考虑使用下面的某种策略：如果 GPO 仅包含计算机配置或用户配置设置，请禁用不适用的策略设置部分。在执行此操作后，目标计算机不会扫描禁用的 GPO 部分，从而缩短了处理时间。有关禁用 GPO 的某些部分的信息，请参阅本指南后面的禁用 GPO 中的用户配置或计算机配置设置。 如果可能，请将一些较小的 GPO 合并为一个 GPO。这可减少应用于用户

19、或计算机的 GPO 数量。通过将较少的 GPO 应用于用户或计算机，可以缩短启动或登录时间，并且可以更轻松地解决策略结构问题。对 GPO 所做的更改将复制到域控制器中，并导致将新的内容下载到客户端或目标计算机上。如果需要经常更改很大或很复杂的 GPO，请考虑创建一个新 GPO，其中仅包含定期更新的部分。请测试这种方法以确定最大限度减少对网络的影响和缩短目标计算机的处理时间能带来多大好处，而使 GPO 结构变得更复杂而容易出现故障的可能性有多大，是否利大于弊。 您应该实现组策略更改控制过程，并记录对 GPO 所做的任何更改。这可能有助于解决和纠正出现的 GPO 问题。这种做还有助于满足要求保留日

20、志的服务级别协议的要求。请考虑使用 AGPM 来实现 GPO 更改控制过程和管理 GPO。定义组策略目标在规划组策略部署时，请确定具体的业务要求以及组策略如何帮助实现这些要求。然后，您可以确定最适合的策略设置和配置选项以满足您的要求。每个组策略实现的目标因用户位置、工作需要、计算机体验和企业安全要求而异。在某些情况下，您可能会从用户的计算机中删除一些功能以防止其修改系统配置文件（这可能会中断计算机运行），或者删除并非用户工作时必不可少的应用程序。在其他情况下，您可能会使用组策略配置操作系统选项、指定 Internet Explorer 设置或制订安全策略。清楚地了解当前的组织环境和要求有助于设

21、计出最符合组织需要的计划。应收集有关用户类型（操作工人和数据输入员）以及现有和计划的计算机配置的的信息，这一点至关重要。您可以根据这些信息来定义组策略目标。评估现有的企业行为准则为帮助您确定要使用的适合组策略设置，请先评估企业环境中的当前行为准则，其中包括如下因素：各种类型的用户的用户要求。当前 IT 角色，如划分到不同管理员组的各种管理任务。现有的企业安全策略。服务器和客户端计算机的其他安全要求。软件分发模型。网络配置。数据存储位置和步骤。当前的用户和计算机管理。定义组策略目标接下来，请确定以下内容（作为定义组策略目标的一部分）：每个 GPO 的用途。每个 GPO 的所有者 请求策略设置并负

22、责进行维护的人。要使用的 GPO 数量。要链接每个 GPO 的相应容器（站点、域或 OU）。每个 GPO 中包含的策略设置类型以及用户和计算机的相应策略设置。何时设置组策略默认处理顺序的例外情况。何时设置组策略的筛选选项。要安装的软件应用程序及其位置。用于重定向文件夹的网络共享。要运行的登录、注销、启动和关机脚本的位置规划持续的组策略管理在设计和实现组策略解决方案时，规划持续的组策略管理也是非常重要的。通过确定管理步骤以跟踪和管理 GPO，可以确保按预定方式实现所有更改。若要简化和控制持续的组策略管理，我们建议您：始终使用以下预部署过程暂存组策略部署： o使用组策略建模了解新 GPO 如何与现

23、有 GPO 进行交互。o在模拟生产环境的测试环境中部署新 GPO。o使用组策略结果了解在测试环境中实际应用的 GPO 设置。使用 GPMC 定期备份 GPO。使用 GPMC 在组织中管理组策略。除非必要，否则不要修改默认域策略或默认域控制器策略。相反，应在域级别创建新的 GPO，并对其进行设置以覆盖默认策略设置。为 GPO 定义有意义的命名约定，以清楚地说明每个 GPO 的用途。仅为每个 GPO 委派一个管理员。这可防止一个管理员的工作被另一个管理员的工作所覆盖。在 Windows Server2008 和 GPMC 中，您可以将编辑和链接 GPO 的权限委派给不同的管理员组。如果未确定适合的

24、 GPO 控制步骤，委派的管理员可能具有重复的 GPO 设置，或者创建的 GPO 与另一个管理员设置的策略设置发生冲突或不符合企业标准。这些冲突可能会对用户的桌面环境产生不利影响，增加拨打的支持电话次数并且更难解决 GPO 问题。确定互操作性问题在混合环境中规划组策略实现时，您需要考虑可能出现的互操作性问题。Windows Server2008 和 Windows Vista 包含很多新组策略设置，Windows Server2003 或 WindowsXP 中不使用这些设置。不过，即使组织中的客户端和服务器计算机主要运行的是 Windows Server2003 或 WindowsXP，您也

25、应该使用 Windows Server2008 中包含的 GPMC，因为它包含最新的策略设置。如果将包含较新策略设置的 GPO 应用于不支持该策略设置的以前操作系统，并不会出现问题。 运行 Windows Server2003 或 WindowsXP Professional 的目标计算机直接忽略仅在 Windows Server2008 或 Windows Vista 中支持的策略设置。若要确定将哪些策略设置应用于哪些操作系统，请在策略设置说明中查看“支持的平台”信息，它说明了哪些操作系统可以读取该策略设置。确定何时应用组策略更改由于对 GPO 的更改必须先复制到相应的域控制器中，因此可能不

26、会在用户桌面上立即应用对组策略设置的更改。此外，客户端使用 90 分钟刷新周期（随机偏差最多约为 30 分钟）来检索组策略。因此，很少会立即应用更改的组策略设置。GPO 组件存储在 Active Directory 和域控制器的 Sysvol 文件夹中。将 GPO 复制到其他域控制器是由两个独立机制完成的：Active Directory 中的复制是由 Active Directory 的内置复制系统控制的。默认情况下，在同一站点的域控制器之间复制时，通常需要不到一分钟的时间。如果您的网络速度比 LAN 慢，此过程可能会较慢。Sysvol 文件夹复制是由文件复制服务 (FRS) 或分布式文件系

27、统复制 (DFSR) 控制的。在站点中，每 15 分钟进行一次 FRS 复制。如果域控制器位于不同的站点中，则会按设置的间隔根据站点拓扑和复制计划执行复制过程；最低间隔为 15 分钟。 备注 如果务必为特定站点中的特定用户或计算机组立即应用更改，您可以连接到与这些对象最接近的域控制器，然后在该域控制器上进行配置更改，以使这些用户最先获得更新的策略设置。 策略刷新间隔刷新组策略的主要机制是启动和登录。还会定期按其他间隔刷新组策略。策略刷新间隔影响应用 GPO 更改的速度。默认情况下，运行 Windows Server2008、Windows Vista、Windows Server2003 和

28、WindowsXP 的客户端和服务器每 90 分钟检查一次 GPO 更改，随机偏差最多为 30 分钟。 运行 Windows Server2008 或 Windows Server2003 的域控制器将每 5 分钟检查一次计算机策略更改。可以使用以下某种策略设置更改该轮询频率：“计算机的组策略刷新间隔”、“域控制器组的组策略刷新间隔”或“用户的组策略刷新间隔”。不过，建议不要缩短刷新间隔时间，因为这可能会增加网络通信量并在域控制器上产生额外的负载。触发组策略刷新如有必要，您可以从本地计算机中手动触发组策略刷新，而无需等待执行自动后台刷新。为此，您可以在命令行中键入 gpupdate 以刷新用户

29、或计算机策略设置。无法使用 GPMC 触发组策略刷新。gpupdate 将在运行该命令的本地计算机上触发后台策略刷新。 有关 gpupdate 命令的详细信息，请参阅本指南后面的更改组策略刷新间隔。备注 某些策略设置（如文件夹重定向和软件应用程序分配）要求用户注销并重新登录，然后这些设置才会生效。只有在重新启动计算机后，才会安装分配给计算机的软件应用程序。 确定与软件安装有关的问题虽然可以使用组策略安装软件应用程序（尤其是小型或中型组织），但您需要确定它是否为最符合组织需要的解决方案。在使用组策略安装软件应用程序时，只有在重新启动计算机或用户登录后，才会安装或更新分配的应用程序。使用 Syst

30、em Center Configuration Manager 2007（以前称为 Systems Management Server (SMS)）部署软件可提供基于组策略的软件部署中没有的企业级功能，例如，基于清单确定目标、状态报告和计划。因此，您可以使用组策略配置桌面和设置系统安全和访问权限，但使用 Configuration Manager 传送软件应用程序。这种方法允许将应用程序安装安排在非核心工作时间进行，从而提供了带宽控制。具体选择哪些工具取决于您的要求、您的环境以及是否需要使用 Configuration Manager 提供的附加功能和安全性。有关 Configuration

31、Manager 的信息，请参阅 System Center Configuration Manager (设计组策略模型您的主要目标是，根据业务要求设计 GPO 结构。应牢记组织中的计算机和用户，并确定必须在组织中强制实施的策略设置以及适用于所有用户或计算机的策略设置。还要根据类型、功能或工作角色确定用于配置计算机或用户的策略设置。然后，将这些不同类型的策略设置划分到 GPO 中，并将其链接到相应的 Active Directory 容器。还要牢记组策略继承模型以及确定优先级的方式。默认情况下，较低级别的所有 OU 将继承链接到较高级别 Active Directory 站点、域和 OU 的 GPO 中设置的选项。不过，在较低级别链接的 GPO 可能会覆盖继承的