Windows Server下的組策略技術(shù)研究

摘 要 通常我們可以利用控制面板、注冊(cè)表等來(lái)對(duì)系統(tǒng)、外觀或網(wǎng)絡(luò)等進(jìn)行一些常用設(shè)置，但是需要每臺(tái)機(jī)器都要進(jìn)行重復(fù)性操作，如果是批量對(duì)若干臺(tái)電腦進(jìn)行設(shè)置，可以使用windows server系統(tǒng)自帶的組策略工具。本文主要介紹windows server系統(tǒng)下的組策略技術(shù)。

關(guān)鍵詞 windows server;組策略;網(wǎng)絡(luò)

引言

統(tǒng)一的企業(yè)化管理通常需要對(duì)員工的電腦進(jìn)行統(tǒng)一化配置。如配置相同的桌面背景、統(tǒng)一的安全性設(shè)置等。這些設(shè)置可以通過(guò)注冊(cè)表來(lái)完成，但是需要每臺(tái)機(jī)器都要進(jìn)行重復(fù)性操作，并且修改注冊(cè)表需要對(duì)注冊(cè)表的鍵值有一定的了解，操作也不是特別方便。組策略是一組策略的集合，可以對(duì)域中的計(jì)算機(jī)和用戶進(jìn)行統(tǒng)一的管理，如對(duì)一組計(jì)算機(jī)設(shè)置統(tǒng)一的桌面背景、進(jìn)行統(tǒng)一的安全性設(shè)置，或?qū)σ恍┸浖M(jìn)行強(qiáng)制安裝等。

1組策略的工作原理

組策略應(yīng)用在域環(huán)境當(dāng)中。它的工作原理是，在域控制器上設(shè)置組策略后，域中所有的計(jì)算機(jī)和用戶在開(kāi)機(jī)或登錄時(shí)就會(huì)自動(dòng)聯(lián)系域控制器，尋找相應(yīng)的組策略，如果找到相應(yīng)的策略，就會(huì)應(yīng)用到計(jì)算機(jī)上。使用組策略可以給若干臺(tái)計(jì)算機(jī)或者用戶制定一套統(tǒng)一的策略，不用對(duì)每臺(tái)電腦進(jìn)行設(shè)置。組策略中每一個(gè)策略都和注冊(cè)表中的某個(gè)鍵值是相對(duì)應(yīng)的，應(yīng)用組策略時(shí)，系統(tǒng)會(huì)根據(jù)設(shè)置自動(dòng)修改注冊(cè)表，從而達(dá)到系統(tǒng)環(huán)境改變的目的[1]。

2組策略的設(shè)置內(nèi)容

組策略的設(shè)置內(nèi)容有以下幾類：安全性設(shè)置、腳本的設(shè)置、軟件的安裝設(shè)置、管理模板設(shè)置。安全性設(shè)置主要指賬戶策略、本地策略等的設(shè)置。腳本的設(shè)置包括登錄與注銷、啟動(dòng)與關(guān)機(jī)等腳本的設(shè)置。軟件的安裝設(shè)置包括自動(dòng)為用戶安裝、修復(fù)、刪除應(yīng)用軟件。管理模板設(shè)置主要是一些計(jì)算機(jī)環(huán)境設(shè)置，如隱藏用戶桌面上所有的圖標(biāo)、在開(kāi)始菜單中添加選項(xiàng)、文件夾重定向等[2]。

3組策略對(duì)象

組策略的設(shè)置數(shù)據(jù)保存在組策略對(duì)象中，組策略對(duì)象簡(jiǎn)稱GPO，是Group Policy Object的縮寫(xiě)。GPO是組策略設(shè)置的集合。要設(shè)置組策略，必須先創(chuàng)建組策略對(duì)象。當(dāng)我們?cè)趙indows server系統(tǒng)下安裝完活動(dòng)目錄域服務(wù)后，該計(jì)算機(jī)就自動(dòng)升級(jí)為域控制器。系統(tǒng)會(huì)在域控制器中自動(dòng)創(chuàng)建兩個(gè)默認(rèn)組策略對(duì)象，分別為Default Domain Policy（默認(rèn)域GPO）和Default Domain Conrollers Policy（默認(rèn)域控制器GPO）。默認(rèn)域GPO中的策略影響域內(nèi)的所有用戶和計(jì)算機(jī)。而默認(rèn)域控制器GPO只影響所有域控制器中的用戶和計(jì)算機(jī)。除了兩個(gè)默認(rèn)組策略對(duì)象外，我們可以自定義組策略對(duì)象。

一個(gè)組策略對(duì)象的內(nèi)容分為兩部分：組策略容器GPC和和組策略模板GPT，GPC是Gourp Policy Container的縮寫(xiě)，GPT是 Group Policy Template的縮寫(xiě)。GPC主要用于記錄組策略對(duì)象的屬性和版本等信息。在域控制器中打開(kāi)活動(dòng)目錄用戶與計(jì)算機(jī)，在system的polices下有兩個(gè)文件夾，里面分別存放著默認(rèn)的域GPO和域控制器GPO的屬性和版本信息。文件夾的名字代表組策略對(duì)象的唯一的ID值。例如，文件夾名為{31B2F340-016D-11D2-945F-00C04FB984F9}的組策略代表默認(rèn)域GPO，而31B2F340-016D-11D2-945F-00C04FB984F9就是默認(rèn)域GPO的ID。文件夾名為{6AC1786C-016F-11D2-945F- 00C04FB984F9}的組策略為默認(rèn)域控制器GPO，而6AC1786C-016F-11D2-945F- 00C04FB984F9是默認(rèn)域控制器GPO的ID值。

GPT 內(nèi)容存儲(chǔ)默認(rèn)位置“%systemroot%＼ SYSVOL＼domain＼Policies”下的sysvol文件夾中，存儲(chǔ)組策略的具體設(shè)置，打開(kāi)這個(gè)文件夾后，里面有兩個(gè)文件夾，分別存放著兩個(gè)默認(rèn)的組策略的具體設(shè)置。當(dāng)我們創(chuàng)建了自定義的組策略對(duì)象后，會(huì)自動(dòng)生成一個(gè)名為該組策略ID的文件夾用來(lái)存放設(shè)置數(shù)據(jù)。

4組策略鏈接

GPO創(chuàng)建好后必須進(jìn)行鏈接才能生效。GPO所鏈接的對(duì)象有：S（站點(diǎn)）D（域）OU（組織單元），簡(jiǎn)稱SDOU。同一個(gè)GPO可以鏈接到多個(gè)站點(diǎn)、域或組織單元。一個(gè)站點(diǎn)、域或組織單元也可以鏈接多個(gè)GPO。GPO控制的對(duì)象有兩種：計(jì)算機(jī)和用戶。我們以默認(rèn)域GPO為例看一下?？梢钥吹接騁PO中包含兩部分設(shè)置，計(jì)算機(jī)設(shè)置和用戶設(shè)置。

計(jì)算機(jī)配置用于管理控制計(jì)算機(jī)特定項(xiàng)目的策略。包括桌面外觀、安全設(shè)置、操作系統(tǒng)下運(yùn)行、文件部署、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行。客戶端計(jì)算機(jī)啟動(dòng)后在操作系統(tǒng)初始化以及系統(tǒng)檢測(cè)周期內(nèi)，沒(méi)有登錄到域之前生效。無(wú)論哪個(gè)用戶登錄到計(jì)算機(jī)，客戶端計(jì)算機(jī)都將首先應(yīng)用計(jì)算機(jī)配置策略。

用戶配置用于管理控制更多用戶特定項(xiàng)目的管理策略。包括應(yīng)用程序配置、桌面配置、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行等。用戶登錄到域中時(shí)生效。無(wú)論用戶登錄哪一臺(tái)計(jì)算機(jī)，都將應(yīng)用同樣的用戶配置策略。

5結(jié)束語(yǔ)

組策略是一個(gè)強(qiáng)制管理計(jì)算機(jī)設(shè)置的方法。 優(yōu)點(diǎn)是十分靈活，只需設(shè)置一次，相應(yīng)的用戶或計(jì)算機(jī)即可全部使用規(guī)定的設(shè)置，減少用戶不正確配置環(huán)境的可能性，組策略的設(shè)置必須在域控制器上，組策略只能夠管理計(jì)算機(jī)與用戶，無(wú)法管理打印機(jī)、共享文件夾等其他對(duì)象。

參考文獻(xiàn)

[1] 顧武雄.Active Directory組策略[J].網(wǎng)絡(luò)安全和信息化，2020（4）：58-59.

[2] 楊震，王路.淺談Windows的組策略[J].甘肅農(nóng)業(yè)，2006（2）：226.

作者簡(jiǎn)介

郭麗（1981-），女，山東聊城市人;畢業(yè)院校：曲阜師范大學(xué)，專業(yè)：計(jì)算機(jī)應(yīng)用，學(xué)歷：研究生，現(xiàn)就職單位：北京信息職業(yè)技術(shù)學(xué)院，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。