计算机专业毕业设计外文翻译组策略的概述

1、2011年3月作者：darren mat-elia, derek melber, william r. stanekthe岀版社：microsoft press 出版时间:2005-05-25 章节：第一张，3至12页组策略的概述在本章，我们将介绍组策略。你将学到组策略是做什么的，它是怎样被 用于域和工作组的设置中，以及实施组策略需要什么基础设施。如果你要搭建一 个活动目录服务的网络环境，你就需耍组策略。就是这么回事。毫无疑问，没 有一点问题。你而对的真正的问题是给你组织的架构和需求如何最大限度的运用 组策略提供的。为什么？因为组策略意味着你作为管理员的生活变的更容易。 微软定义组策略这个术语

2、是为了描述能够允许你一起设置组策略同时把它们运 用到离散集合（不相干记录）的技术。实际上，组策略是一组为了简化管理共同 的、重复的以及独特的任务而又难以手工实施但是可以被自动化执行的策略设置 （例如部署新的软件或者强制执行能够安装在电脑上的程序）。相关信息关于域名服务器体系结构的信息，参考加windows server 2003 inside out （微软服务器2003视窗）的第26章（微软出版，2004）。关丁活动 0 录系结构的信息，参考microsoft windows server 2003 inside out 的第32章。关于组策略实施的信息，参考木书的第四章。了解组策略组策略提

3、供了一种方便高效的方法來管理计算机和用户设置。组策略做什么通过组策略，你能用完成（manage）设置一个用户或者一台计算机的方法完 成设置成千的用户或者计算机无需离开你的办公桌（座位）。对于这些，你 可以使用一个或多个管理工具改变设置成期望值，同时通过网络把这些改变应用 到一段期望的用户和计算机或者任意一个用户和计算机。一种理解思路是组策略好比一组规则能够帮助你管理用户和计算机。尽管缺乏一 致的理解，用这种思路理解组策略可能比以前的更直观。仍然不可思议？想想 在组策略（出现）z前，许多组策略的管理改变只能通过修改windows注册表， 每一个改变不得不单独的在每一台目标主机上进行。随时间变化，

4、实施的棘手， 可能会导致灾难性后果？当然了。进入组策略，凭借它你可以简单的使用或者取消一个策略调整注册表键值或者其 它设置，这些改变在组策略下次刷新时能够被自动的应用到你指定的每台计算机 上。由于改变能够被效仿（通过组策略控制台）在修改被应用z前，（因此）你 可以确定每一个期望改变的效果。另外，如果你不满意（改变的）结果，你可以 通过设置策略取消改变使其冋到初始或者未配置状态。进一步采取这种情形，当你用手工修改一台机器的多个微软窗口的注册表设置项 这种情况时你将面对问题。可能用户不能登录，（计算机）它们不能执行必须的 动作，或者计算机不能正常的响应。如果您记录了每台计算机上的每个变动，你 可能

5、取消那些改变如果你够幸运同时你还止确的记录初始的设置以及改变。 相比之下，组策略允许你返冋（“备份”）到改变执行之前的组策略状态。如果-些东西运行出错，你可以恢复组策略到它的初始状态。当你恢复组策略状态, 你可以确定在下次组策略刷新时所有的改变没有执行。组策略怎么工作讲到组策略刷新，你可能对这个术语意思的感到疑惑。详细的细节见第二章，这 里只介绍基本的组策略应用（开始过程）和简单的刷新（随后过程）。在活动口 录中，两个不同的的策略集合（组）被定义：计算机策略：它们保存在组策略中的计算机配置下并应用于计算机。用户策略：它们保存在组策略中的用户配置下并被用户使用。程序初始化时相关的策略通过两种不同

6、的事件被触发：当计算机开机时计算机策略进程被触发。当计算机开始工作网络连接初始化， 计算机策略设置被应用同时一个历史的注册表基木设置以 %a1 lusersprof i le%ntuser. pol被使用。当用户登录计算机时用户策略进程被触发。当一个用户登录到计算机上，用 户策略设置被应用同时一个历史的注册表基木设置%userprofile%ntuser. pol 被使用。一旦被使用，组策略设置会口动的刷新保持当前的设置同时表现出执行后和应的 改变。在默认情况下，域控制器上的组策略每5分钟刷新一次。对于工作站和其 他类型的服务器，默认情况下组策略每90-120分钟刷新一次。除此之外，在间隔 时

7、间内组策略每16个小时刷新一次不管是否有策略设置的改变。注意：公开的，在工作站和成员服务器上组策略的默认刷新间隔时间是90分钟， 但是增加30分钟的截止时间來避免域控制器中多个同时刷新（造成的）的请求泛 滥。这种作用使得默认刷新时机从90到120分钟（不等）。要点：其他一些因索也能影响组策略刷新，包括慢关联检测如何被确定（每个 组策略的慢关联检测策略在 computer conf igureit ionadmini strat ive templates'system'group policyt）和computer conf igurationadmini strati ve

8、tempiatessystemgroup pol icy下策略的策略进程设置。你可以使用组策 略控制台（gpmc）查看最近一次组策略刷新。（参阅n录第三章udetermining policy settings and last refresh” 目录部分。）使用和实施组策略组策略对于活动目录的成功实施是那么的重要以至于绝大多数管理员把它做为 活动目录的组成对待。这大部分是正确的以这种思路理解也是可以的但 是使用组策略不是必须需耍活动口录。在工作组和域中使用组策略你能够使用组策略管理运行微软windows 2000和windows xp专业版的工作站甚 至运行windows 2000 and

9、windows server 2003的服务器。当然你不能使用组 策略管理运行windows nt®的工作站或者服务器，windows 95, windows 9& windows mi.1 lcnnium edition （me）,或者windows xp home edition ,（但是） 你可以在企业（域）和木地（工作组）的环境中使用组策略。在企业坏境中部署活动冃录，彻底的设置策略环境是很便利的。这些策略设置参 考域中基本组策略，活动目录中基本组策略，或者最简单的组策略（的设置）。 在活动目录中，位置和组织单位是两个垂耍的相关元素（组织单元）。位置代表 着你的网络的物

10、理结构。它是一组tcp/ip子网段被实施用来控制在物理网络位 置中目录响应流量和隔离登录认证流量。ous常常用于域中的一组对彖。在域中 一个0u是一个逻辑上的管理它可以代表一个组织或者它们的g的功能。组策略对象的工作 组策略被应用到不相关的地方，这涉及到组策略对象（gpos）。gpos控制设置能 够被计算机和用户以多种方式应用在特定的活动目录域，地点，或者0u屮。由于 活动目录中的基木层次结构，高等级的gpos设置也能被低级的gpos继承。例如 cpandl. com域的设置能被在那个域屮的engineering 0u继承，这个域的设置将会 被应用到engineering 0u中的用户和计算机

11、。如果你不想策略设置被继承，你 可以禁用这些设置來确保只有那个为低一级组策略设置的组策略对象被应用。 要点：由于域屮组策略，你可能认为使用组策略将会影响深林或域的作用强度， 但是这不是问题。在深林和域中许多特定的功能模式不需耍使用组策略。森林作 用强度可以是windows 2000, windows server 2003 interim,或者 windows server 2003 （操作系统）。域作用水平强度可以是windows 2000 mixed, windows 2000 native, windows server 2003 interim,或者 windows server 20

12、03 （操 作系统）。在木地环境，一个被称为本地组策略的组策略子集是便利的。就像名字所指，本 地组策略允许你管理策略设置并作用到每一个人登录到的本地机器。这就意味着 木地组策略应用到了工作组成员中任何登录到计算机的用户或者管理员和域成 员中任何登录到本地计算机的用户或管理员。由于本地组策略是组策略的一个子 集，（因此）有些在域屮可以设置的事情在本地却不能。一般来说，你可以通过 组策略管理策略区域中你不能管理的木地与活动目录有关的特征，例如安装软 件。犹如活动h录基本组策略，然而，本地策略通过组策略对象被管理。这些组 策略对彖参与扮演木地组策略对彖角色。除去本地组策略和活动冃录基础组策略的基本上

13、的差异，两者的策略类型被管理 的方式一样。实际上，你使用相同的工具来管理它们。关键的不同在你使用的gpo 中。在本地计算机上，你使用专有的lgpo。如果你已经部署活动目录，那么， 你可以使用除lgpos之外的域，单元，和0u gpos o注意：无论它们是客户端工作站，成员服务器，或者域控制器，所有的windows 2000, windows xp professional,和 windows server 2003 的计算机都有一 个木地组策略项目。lgpo总是被处理的。但是，它具有最小的优先级，这意味着 它可以通过设置站点，域和0u被设置取代。虽然域控制器有本地组策略项冃，（但 是）对于域控

14、制器的组策略被管理时最好通过一个被称为默认域控制器策略的默 认gpo。对于域有一个被叫做默认域策略的默认gpo。就像你想象的那样，这些默 认的gpos有特殊的口的同时以很特别的方法被使用。稍后你将会学到更多的关于 这些默认的gpos在本章标题为 “working with linked gpos and default policy, 的部分。组策略入门到目前为止我们讨论了组策略做什么，怎么做，怎么工作，但是我们没有讨论它 帮你更好地管理你的网络的确切的方法。了解组策略设置和选项首先，组策略或许不是你想象的那样。如果你从windows nt 4.0的工作坏境转 移到windows server

15、 2003的环境屮，你应该知道前面合法的组策略和windows nt 系统的策略是不同的。windowsnt系统的策略是十分受限制的，坦率的讲即使和 组策略作用的领域相同。如果你在windows 2000或者稍后的windows操作系统上 工作，你可能已经看到组策略能做什么，不能做什么，或者你听到一些人错误的 把他们的困境归咎于组策略。最直接的事实是你“告诉”它什么组策略就做什么。你通过配置策略设置管理组 策略。你应用的一个策略设置是一个单独的设置，例如限制访问运行对话框。大 部分策略设置项有三种基本的状态：启用：策略设置项被打开，它的设置处于活动（状态）。通常的你启用一个 策略设置应确保它被

16、执行。一旦启用，一些策略设置要求你配置额外的项为策略 设置的应用做出调整。禁用：策略设置项被关闭，它的设置不会被应用。通常地，禁用一个策略设 置应确保它不被执行。未配置：策略设置没有被应用。策略设置即不是活动也不是无效，同时没有 变化因策略导致配置设置触发。对于他们口己，这些状态和当的简单。但是一些人认为组策略是复杂的因为这些 基本状态（改变）会引起继承和阻塞（这里我们概要地涉及将在第三章做详细讨 论）。记住两条关于继承和阻塞的规则，你将会在通往组策略成功的路上事半功 倍：如果继承策略设置被绝对的执行，你不能越控他们继承策略设置被应用 不管当前gpo的策略状态指派。如果在当前的gpo中继承策略

17、设置被阻塞同时不是必须执行，继承策略设置能 越控他们继承策略设置不会应用，只有当前gpo中的策略设置被应用。使用组策略管理现在你已经确切的知道怎么应用单独的策略设置，让我们-起看看在管理域小应 用组策略。无论是你谈论的木地组策略或者域基木组策略，管理域和他们很类似, 但是在域基本组策略中你可以干更多事情。就像先前被提到过的，你不能使用本 地组策略管理一些需要活动目录的特性；这些使用本地组策略能做与否的约束是 本身的限制i大i素。通过组策略，你可以管理这些关键的管理区域：计算机和用户脚木：为用户配置登录/注销脚本和为计算机配置开机/关机脚 本。文件夹重定向：为用户转移关键性的数据文件夹到网络共享

18、以便他们可以被更 好的管理和规律性的备份（只适用基于域的组策略）。 一般的计算机安全性：为账户建立安全设置，事件日志，约束组，系统服务, 注册表，和文件系统。（对丁木地组策略，你只能为账户策略提供管理一般性的 计算机安全）木地安全策略：设置策略审计，用户权限指派，和用户权限。 ie维护：配置浏览器的界面，安全性，重要的urls,默认程序，代理，和其他 更多。 ip安全性：为客户端，服务器，固定服务器设置ip安全策略公钥安全性：设置自动注册公钥策略，加密文件系统（efs）,企业信托，等 等。软件设置：自动地安装新软件和软件升级（只适用基于域的组策略）。远程服务设置：在客户端安装中设置的选项可用。

19、无线网络（ieee 802.11）：为接入点，客户机，设置无线网络工作策略和网络 优先级（只适用基于域的组策略）。软件限制：限制软件的部署和使用木地组策略不支持基于用户的软件限制策 略，只支持基于计算机的软件限制策略。虽然一个特别的策略集合被称作管理模板，但是你也可以管理关于各个方面的用 户图像界面接口（gui）,从菜单到桌面，任务栏，还有更多。管理模块策略设 置作用实际的注册表设置，因此无论你是工作在本地组策略或者基于域的组策略 适用的策略几乎是同一的。你可以使用管理模块来管理：控制面板控制控制面板的进入和选择。你可以配置设置添加或删除程序， 打卬机，和地域与语言选择。桌面 配置window

20、s桌面，活动桌面的外观与交互，和从桌面活动fi录搜索的 选择。网络 配置网络工作和网络客户端选项，包括文件卸载，dns客户端，和网 络连接。打卬机配置共享打卬机，浏览打卬机，打卬池和直接选项 共享文件夹 允许公用的文件夹共享和分配文件系统（dfs）目录。开始程序和任务栏 配置开始程序和任务栏，首要的移岀或隐藏项目和选项。系统配置策略相关的正常的系统设置，磁盘引述，用户简介，登录，电源 管理，系统恢复，错谋报告，和其他更多。 windows组件 配置是否或者怎么使用windows组件，例如事件监视器，任务 计划栏，和windows更新。了解组策略所需的基础设施 本地组策略是可用的对丁运行wind

21、ows 2000, windows xp professional, orwindows server 2003的计算机来说。基于域的组策略只可用在运行活动口录的网络中。由于活动目录工作依靠tcp/ip协议和域名解析（dns）,因此你必须部 署tcp/ip网络坏境，dns,和活动冃录使用的基于域的组策略。dns和活动目录 dns提供能使一台计算机找到另一台计算机的名字解析。这是一个有ietf给出的 服务标准命名在rfc 1034和rfc 1035被详细的说明。在工作站和服务器上，dns 在tcp/ip协议簇被自动的安装，它提供几种类型，正向请求允许计算机把主机名 转换成ip地址，反向请求允许计

22、算机把一个ip地址转换成主机名。活动目录为域和其他特征提供必需的目录服务使他们能够通过组策略被提前控 制。对活动冃录来说基本的通讯协议是(ldap) o ldap是一个提供目录访问且运 行在tcp/ip协议上的工业标准协议。客户端可以使用ldap来请求和管理目录信 息，符合他们准许的访问等级。其他通讯协议也一样支持，包括repl接口，被用 来复制；消息应用程序接口(mapi),被用在老版本的消息客户端；账户安全性 管理(sam)接口，允许windows nt 4. 0的客户端有限制的访问活动目录。总的 来说，这些接口允许：与ladp通信，活动目录服务交互(adsi),以认证为目的的新的客户端展

23、槊， 访问控制，目录请求，和目录管理。复制其他口录服务器以达到为域控制器分发口录变化口的与旧(mapi)的outlook客户端通信,主要用于查询,为实现认证和访问控制与windows nt 4.0的客户端通信通过在活动目录中使用dns,你可以建立目录结构并给岀很详尽的列举环境。目 录对象被域逻辑上分组。这使得域内活动目录中的一个基本结构阻塞。两个额外 的阻塞是单元和ous,这些我们先前介绍过。活动目录有非常明确的规则当它在域，站点，和ous中。网络上的每一个工作站 和服务器必须是域的一个成员同时位于一个单元中。一个工作站或者服务器只能 属于一个域和一个单元。组织单元，另一方面来说，被域明确定义

24、，可以认为是 域中子集的包含者。例如，域中你可能有工程部，销售，销售员，和支持组织单 元。和域一样，组织单元能被领导层组织。例如，你的销售组织单元可以有打印 机销售和计算机销售组织单元。要点：在windows nt屮，你经常创建额外的域来产生清楚地隔离在用户，计算 机，资源或者管理者代表权限z间，同时限制管理访问。你可以使用活动目录组 织单元达成相似的目的不需要建立额外的（和更复杂的）域结构。另一个在 nt中创建额外的域是为了减少网段之间的流量，这也是活动目录站点的描述。你 可以使用单元来增加网段间更好的通信控制。应用active directory结构的继承当你使木地计算机包含我们已经讨论过

25、的基木结构，一个典型的活动目录网络有四个明确的等级：本地计算机站点域组织单元当组策略被设置在本地计算机等级，每一个登录到本地机器上的人受策略设置的 影响（本地组策略）。基于域的组策略被设置在真正的目录结构上，基于域的策 略设置被应用在这些基本命令中：站点，域，组织单元。这个结构被认为有四个等级。最高等级是本地组策略，第二个等级是单元，第三 级是域，第四级是组织单元。组织单位可以相互嵌套，所以你可以根据需要创建额外的等级结构。默认地，当 策略被设置在一个等级，设置应用到那一级的所有对象和这一级以下的所有对 象，通过继承。策略设置继承工作如下（除非继承被阻塞）：如果策略设置被应用在单元等级，你影响

26、域和组织单元确定的单元部分中所 有的用户和计算机。例如，如果主要的单元包含tech, cpandl. com和 sales, cpandl. coin域，所有被应用到单元的设置将会影响两个域中的对彖。如果一个策略设置被应用在域等级，它影响组织单元确定的为域部分中的所 有用户和计算机。例如，如果tech, cpandl. com包含engineering和it组织单元, 所有被应用到tech. cpandl. com域中的设置将会影响engineering和tt组织单元 中的对象。如果一个策略设置被应用在组织单元等级，它影响组织单元和低于他的组织 单元（子组织单元）确定的所有用户和计算机。例如，

27、如果engineering组织单 元包含webteam和devteam子组织单元，所有应用到engineering组织单元的设 置将会影响ebteam和devteam组织单元。毕业设计（论文）译文专用纸第12页authors:darren mar-elia, derek melber, william r. stanekthepublisher: microsoft presspublished: 2005-05-25chapter： chapter 1, page 3 to 12overview of group policyin this chapter, we will introduc

28、e group policy. you'll learn what group policy does, how it can be used in both domain and workgroup settings, and what infrastructure is required to implement it. if you're running an active directory directory service network environment, you need group policy. period. thereno doubt, no qu

29、estion at all. your only real question should be how to make the most of what group policy has to offer, given your organization's structure and needs why? because group policy is meant to make your life as an administrator easier. microsoft coined the term group policy to describe the technolog

30、y that allows you to group policy settings together and apply them in discrete sets. group policy is, in fact, a collection of policy settings that simplify administration of common and repetitive tasks as well as unique tasks that are difficult to implement manually but can be automated (such as de

31、ploying new software or enforcing which programs can be installed on computers). related information for information about dns architecture, see chapter 26 in microsoft windows server 2003 inside out (microsoft press, 2004). for information about active directory architecture, see chapter 32 in micr

32、osoft windows server 2003 inside out. for information on deploying group policy, see chapter 4 in this book. understanding group policygroup policy provides a convenient and effective way to manage computer and user settings.what it doeswith group policy, you can manage settings for thousands of use

33、rs or computers in the same way that you manage settings for one user or computerand without ever leaving your desk. to do this, you use one of several management tools to change a setting to a desired value, and this change is applied throughout the network to a desired subset of users or computers

34、 or to any individual user or computer. one way to think of group policy is as a set of rules that you can apply to help you manage users and computers despite common misperceptions, group policy does this in a way that is more intuitive than was previously possible still a nonbeliever? consider for

35、 a moment that before group policy, many of the administrative changes that group policy enables were possible only by hacking the windows registry, and each change had to be made individually on each target computer. time consuming, tricky to implement, prone to disastrous results? you betcha.enter

36、 group policy, whereby you can simply enable or disable a policy to tweak a registry value or other setting, and the change will apply automatically to every computer you designate the next time group policy is refreshed because changes can be modeled (through the group policy management console) be

37、fore the modifications are applied, you can be certain of the effect of each desired change. plus, if you doit like the results, you can undo a change by setting the policy back to its original or not configured state.to take this scenario a step further, consider the case in which you've manual

38、ly tweaked multiple microsoft windows registry settings on a number of machines and you start to have problems. maybe users can% log on, they can't perform necessaiy actions, or computers arent responding normally. if you documented every change on every computer, you might be able to undo the c

39、hanges一if you are lucky and if you properly documented the original settings as well as the changes. in contrast,group policy allows you to back up (“save") the state of group policy before making changes if something goes wrong, you can restore group policy to its original state. when you rest

40、ore the state of group policy, you can be certain that all changes are undone with the next group policy refreshhow it worksspeaking of group policy refresh, you are probably wondering what this term means. while the nitty-gritty details are covered in chapter 2, the basics of group policy applicati

41、on (initial processing) and refresh (subsequent processing) are straightforward. in active directory, two distinct sets of policies are defined: computer policies these apply to computers and are stored under computer configuration in group policy. user policies these apply to users and are stored u

42、nder user configuration in group policy.initial processing of the related policies is triggered by two unique events: processing of computer policies is triggered when a computer is started. when a computer is started and the network connection is initialized, computer policy settings are applied an

43、d a history of the registry-based settings that were applied is written to %allusersprofile%ntuser.pol processing of user policies is triggered when a user logs on to a computer. when a user logs on to a computer, user policy settings are applied and a history of the registry-based settings that wer

44、e applied is written to %userprofile%ntuser.pol. once applied, group policy settings are automatically refreshed to keep settings current and to reflect any changes that might have been made. by default, group policy on domain controllers is refreshed every 5 minutes. for workstations and other type

45、s of servers, group policy is refreshed every 90 to 120 minutes by default. in addition,group policy is refreshed every 16 hours regardless of whether or not any policy settings have changed in the intervening time.note officially, the default group policy refi-esh interval on workstations and membe

46、r servers is every 90 minutes, but a delay of up to 30 minutes is added to avoid flooding domain controllers with multiple simultaneous refresh requests. this effectively makes the default refresh window from 90 to 120 minutes. tip other factors can affect group policy refresh, including how slow li

47、nk detection is defined (per the group policy slow link detection policy under computer configurationadministrative templatessystemgroup policy) and policy processing settings for policies under computer configurationadministrative templatessystemgroup policy. you can check the last refresh of group

48、 policy using the group policy management console (gpmc). (see the section titled "determining policy settings and last refresh in chapter 3.)using and implementing group policygroup policy is so important to a successful active directory implementation that most administrators think of it as a

49、 component of active directory this is mostly true一and it is okay to think of it this way一but you don't necessarily need active directory to use group policy.using group policy in workgroups and domainsyou can use group policy to manage workstations running microsoft windows 2000 and windows xp

50、professional as well as servers running windows 2000 and windows server 2003. while you can, use group policy to manage windows nt® workstations or servers, windows 95，windows 9& windows millennium edition(me), or windows xp home edition, you can use group policy in both enterprise (domain)

51、 and local (workgroup) environments-for enterprise environments where active directory is deployed, the complete set of policy settings is available this policy set is referred to as domain-based group policy,active directory-based group policy, or simply group policy. in active directory, two impor

52、tant related elements are sites and organizational units (ous). a site represents the physical architecture of your network. it is a group of tcp/ip subnets that are implemented to control directory replication traffic and isolate logon authentication traffic between physical network locations. ous

53、are used to group objects in a domain. an ou is a logical administrative unit within a domain that can be used to represent the structure of an organization or its business functions.working with group policy objectsgroup policy is applied in discrete sets, referred to as group policy objects (gpos)

54、. gpos contain settings that can be applied in a variety of ways to computers and users in a specific active directoiy domain, site, or ou. because of the object-based hierarchy in active directory, the settings of top-level gpos can also be inherited by lower-level gpos.for example, a setting for t

55、he domain can be inherited by the engineering ou within that domain, and the domain settings will be applied to users and computers in the engineering ou. if you dorft want policy settings to be inherited, you can block these settings to ensure that only the gpo settings for the low-level gpo are ap

56、plied.for local environments, a subset of group policy called local group policy is available.as the name implies, local group policy allows you to manage policy settings that affect eveiyone who logs on to a local machine. this means local group policy applies to any user or administrator who logs

57、on to a computer that is a member of a workgroup as well as any user or administrator who logs on locally to a computer that is a member of a domain because local group policy is a subset of group policy, there are some things you carf t do locally that you can do in a domain setting generally speak

58、ing, the areas of policy that you carf t manage locally have to do with active directory features that you can manage through group policy, such as software installation.like active directory-based group policy, however, local group policy is managed through a gpo. this gpo is referred to as the loc

59、al group policy object (lgpo).beyond these fundamental differences between local group policy and active directory-based group policy, both types of policy are managed in much the same way. in fact, you use the same tools to manage both. the key difference is in the gpo you work with. on a local machine, you