什么是组策略活动目录域ADGroupPolicyCollection之一此文译自Group

1、什么是组策略活动目录域AD Group Policy Collection 之一此文译自Group Policy Collection组策略是一个允许您执行针对用户和计算机进行配置的基础架构。组策略设定包含在组策略对象中(GPOs) ，它们被链接到这些活动目录服务的容器：站点，域或者组织单元(OUs) 。这些 GPO 中的设置随后利用活动目录的层级性质，实施于受影响的对象。因此，组策略是部署活动目录的一个最主要的原因之一，因为它能够让您方便的管理用户和计算机对象。组策略是组管理技术之一，这些统称为IntelliMirror? 管理技术，即便用户从网络中脱离，仍然可以在任意被管理的计算机上向用户

2、提供统一的应用程序，应用程序设定，漫游用户配置文件以及用户用户数据。 IntelliMirror 通过一组Microsoft? Windows? 功能得以实现，这包括活动目录，群组策略，软件安装，Windows Installer ，文件夹重定向，脱机文件夹以及漫游用户配置文件。这个集合包括如下组策略领域的内容：? 核心群组策略? 组策略组件? 组策略管理工具此章节介绍组策略管理的概念和结构，概述组策略集合的内容以及描述组策略设定。组策略管理管理员面对IT 架构中日益复杂的挑战，您必须为各类员工发布、维护定制的桌面设定，如移动用户，信息工作者以及其他严格界定工作任务的用户，比如数据录入。安全设

3、定和更新必须有效的传递给组织中的所有计算机和设备。而用户不必经过昂贵的培训就可以投入生产。在遭遇计算机崩溃或者灾难性事件中，服务必须在最小数据丢失和中断下恢复。所有这些任务，总所周知的改变和设置管理，必须尽可能低开小的情况下完成。您需要能够做到快速的执行变更以及对于大量用户和计算机实施。组策略就是允许您在活 动目录中基于对象一级执行变更的基础结构。您需要能够一次定义这些设置，依靠操作系统强制执行状态。使用活动目录，可以将 GPOs 链接到站点，域以及，允许将组策略设置应用到用户和计算机。另外，通过对于一些针对服务器操作和安全性的设定， GPOs 可以协助管理服务器。这个基础架构具有很强的适应能

4、力，允许您自定义配置，诸如为一个 ou 中，基于成员关系的用户，发布指定的软件。另外，组策略管理控制台(GPMC) 简化拉群组策略的执行和管理。组策略结构组策略采用一个中央文档的方法去创建，存储和关联组策略设置。与Microsoft Word 将信息存储在 .doc 文件的发放相类似，组策略设置存储在GPO 中。 GPO 是个虚拟的对象，组策略设置信息存储在两个位置：链接GPO 的活动目录容器和域控制器上的Sysvol 。设置组策略主要通过两个工具:组策略对象编辑器，(以前大家知道是使用组策略插件，组策略编辑器或者 Gpedit) 和组策略管理控制台(GPMC) ， 它们都可以从Microso

5、ft 网站上下载到。组策略对象编辑器用户设置修改GPO 中的设置，而GPMC 用于创建、查看和管理GPO 。 下图中展示了组策略架构，以及各祖尧组件是如何通过读写访问互相影响的。随后的表格中描述了各相关组件。组策略结构组策略组件组件描述 在活动目录森林中，域控制器是一台包含活动目录数据库的拷贝，参与活动目服务器(域控制器)录复制以及控制网络资源访问服务器，活动目录，基于Windows 目录服务，存储网络中对象的信息，并将信息提供给活动目录用户和网络管理员。管理员将GPOs 链接到诸如站点，域和OUs 等包含了用户和计算机对象的容器上，从而将组策略设置实施于组织中的用户和计算机。GPO 是一个组

6、策路设置的集合，作为一个虚拟的对象存储在域中，由组策略容组策略对象(GPO)器 (GPC) 和组策略模板(GPT) 组成。GPC ，包含GPO 的属性信息，存储在域中每台域控制器活动目录中。GPT 包含GPO 的数据，存储在Sysvol 的/Policies 子目录下。GPO 能够影响包含在站点，域和OU 中的用户和计算机。Sysvol 是一个共享目录，存储了域中公用文件的副本，此副本在域中所有的域Sysvol控制器之间同步。Sysvol包含了 GPO中的数据：GPT,包含了基于组策略设置，安全设置，脚本文件以及关于软件安装应用程序的相关信息的管理模板。它通过文件复制服务(FRS) 得以同步。

7、本地组策略对象(local GPO) 存储在每台个人计算机上的 %systemroot%System32GroupPolicy目录下，具有隐藏属性。每一台运行 Windows 2000, Windows XP Professional, Windows XP 64-Bit Edition, Windows XP Media Center Edition 或者Windows Server? 2003 的计算机，不论它是否处于活动目录环境中，都设置了严格的local GPO 。本地组策略对象Local GPOs 不支持某些扩展，比如文件夹重定向或者软件安装组策略。也不支持一些安全性设定，但组策略对

8、象编辑器的安全设定扩展不支持local GPO的远程管理。Local GPOs 始终在执行，但它在活动目录环境中影响力最小，因为基于活动目录的GPOs 优先。尽管您可以在个人计算机上设置local GPO ，但组策略的完整功能只有在安装了活动目录的Windows Server 网络中方能得以实现。另外，一些功能和组策略设置在客户端需要Windows XP 的支持组策略对象编辑器组策略对象编辑器是一个微软管理控制台(MMC) 单元，用于编辑GPO 。 之前是组策略管理单元，组策略编辑器或者Gpedit.MMC 管理单元默认情况下被组策略对象编辑器加载。当客户端扩展在目标客服务端管理单元户端计算机

9、上执行实际的策略设置的时候，服务端管理单元扩展提供用户接口，允许您设置不同的策略设置。管理单元扩展包括管理模板，脚本，安全性设定，软件安装，文件夹重定向，远程安装服务，Internet Explorer 维护，磁盘配额，无线网络策勒以及QoSPacket Scheduler. 管理单元可以被扩展，比如安全设置管理单元包括几个扩展管理单元。开发者也可以创建他们自己的MMC 扩展管理单元，使得足策略对象编辑器提供附加的组策略设置。客户端扩展(CSEs) 在动态链接库(DLLs) 中运行，为组策略在客户端计算机上的执行负责。缺省状态下Windows Server 2003 装载如下CSE:客户端扩展

10、管理模板，无线网络策略，文件夹重定向，磁盘配额，QoS Packet Scheduler脚本，安全，Internet Explorer 维护，EFS 恢复，软件安装以及IP 安全GPMC 是一个新的进行组策略单一化执行和管理工具。它由一个新的管理单元和组策略管理的脚本集合组成。组策略管理控制台提供：? 一个基于如何定制使用和管理组策略的用户界面，这比之前基于技术如何构建要来的好。组策略管理控制台(GPMC)? 导入/导出，复制/粘贴和GPO 的搜索? 组策略相关安全的单一化管理? 对于GPO 和策略结果集(RSoP) 数据的报(对于GPO 的打印，保存，只读访问)? GPO 的备份/恢复? 用

11、此工具查看GPO 操作脚本(但不能查看GPO 中设置的脚本).策略结果集(RSoP) 管理单元是一个单一的组策略执行和错误排查的MMC策略结果集管理单元(RSoP)管理单元。RSoP 使用Windows 管理规范(WMI) 测定组策略设定是如何被应用到用户和计算机商的。对于RSoP 功能性来说，它建议在GPMC 中使用此报功能。Windows 操作系统中提供交互式登陆支持的组件，Winlogon 是组策略引擎运Winlogon行的服务。.组策略引擎是一个扩越客户端扩展，包括组策路运作排程，从相关设置定位中组策略引擎获取GPO 以及GPO 的排序和过滤，处理共处理公用功能性的框架。文件系统存在于

12、客户端计算机上的NTFS 文件系统一个关于计算机设置信息的存储数据库，注册包含系统操作期间Windows不断设计的信息，比如：1. 每个用户的配置文件。2. 安装在计算机上的程序和每个能够创建的文档类型。注册3. 文件夹和程序图标的属性设置。4. 系统硬件5. 使用中的端口 注册是树状层级组织，它由键及其子键，配置单元以及注册项构成。注册引擎对于注册具有读写权限。注册设置可以通过组策略管理模板扩展来控制。事件日志事件日志是一个服务，处于事件查看器，在系统，安全和应用程序日志中记录 事件。组策略引擎对于客户端和域控制器上的事件日志具有写访问。帮助和支持中心是一个存在于每台计算机上的组件，为作用于

13、计算机上的组策帮助和支持中心略设置提供HTML报表。所有的组策略执行信息被收集、储存在本地计算机上的共用信息模型对象管理（CIMOM）数据库中，这个信息，例如列表、目录和每个 GPO处理的详细记录， 可以被使用WMI的工具访问。策略结果集（RSoP）在日志模式（组策略结果），RSoP查询目标计算机上的 CIMOM数据库，获取 关于策略的相关信息并将其显示在GPMC中。在规划模式（组策略模型）,RSoP虚拟出域控制器上使用组策勒目录访问服务（GPDAS）的策略运作环境，由GPDAS模仿GPO运作，并将它们传递给域控制器上的虚拟客户端扩展，这个模拟过程的结果在回传并显示在GPMC之前，存储在本地C

14、IMOM数据库中。WMI是一个管理的基础架构，它支持通过一组公用界面实施系统资源的监视和 控制，同时提供一个逻辑上有组织的，一致的Windows操作、配置信息和状态模型。WMI收集目标计算机的相关数据用于管理用途，这些数据包括硬件和软件列WMI表，设置和配置信息。例如： WMI公开诸如CPU ,内存，磁盘空间，内存和 厂商等硬件信息，从注册表，驱动程序，文件系统，活动目录，Windows Installer 服务，网络配置和应用程序数据中获取软件信息。Windows Server2003 上的WMI过滤允许您给予这些数据创建查询，这些查询（也称为WMI过滤器）检测，在您创建顾虑其的地方，用户和

15、计算机将会接受到的所有的策略设置。组策略这个主题解释了群组策略基础架构，包括组策略引擎如何控制处理策略，包括 GPO的恢复，个别扩 展的调用以及其它功能性基础架构。组策略组件子集描述了服务端管理单元扩展和客户端扩展的扩展角色。这些扩展包括：管理模板， 软件安装，安全设定，脚本，远程安装服务，Internet Explorer维护，文件夹重定向，QoS数据包调度程序，磁盘配额以及无线网络策略。组策略管理工具此子集解释力包括组策略对象编辑器，组策略管理控制台以及策略结果集管理单元在内的管理工具（RSoP）。群组策略被用于定义用户和计算机的群组配置。使用群组策略，您可以在大范围内指定详细而精确 的配

16、置，包括管理模板（基于策略的注册表），安全，软件安装，脚本，文件架重定向，远程服务安装以 及Internet Explorer维护。群组策略设置包含在 GPO中，通过将GPO同选定活动目录系统容器 一站点、 域和组织单元一相关联，GPO的群组策略设置被应用到那些活动目录容器中的用户和计算机上。这个章节 将会告诉您能够用组策略去做什么。桌面、应用程序以及基于注册表策略的组件管理管理模板（或者.adm 文件）允许您使用组策略控制注册表设置，提供设置桌面的行为和外观，这包括操作系统，组件和应用程序。Windows中预先定义了一组管理模板文件，它们是作为文本文件实现的 （使 用.adm的扩展名），注册

17、表设置可以定义在 GPO中。这些.adm 文件默认保存在两个位置：包含在Sysv ol文件架的GPO中和本地计算机上 windir%inf的目录中。安全管理组策略可以对于用户、客户端、服务器以及域控制器，进行如下的安全类型选项管理：?安全设置 此组策略设置用于指定各种安全相关的操作系统参数，例如密码策略，用户权限委派， 审核策略，注册表键值，文件和注册表ACL以及服务启动模式? IPSec策略这些组策略设置用于对认证或者加密网络通信，设置 IPSec服务。IPSec策略由一 组安全策略，每条安全策略由一条作用的IP筛选构成。?软件限制策略这些群组策略设置用于保护计算机原理那些不受信任的代码，以

18、及指定允许运行的 应用程序?无线网络策略 无线网络服务，一个针对每块安装于计算机上 ，符合IEEE802.11标准的无线网卡， 实施操作的用户模式服务，这些群组策略设置用于针对此服务进行配置设定，?共用密匙策略这些策略设定用于：?指定计算机自动将证书请求发送到权威认证并安装发布的证书。?创建并发布一个证书信任列表?建立共用信任根权威认证?添加加密数据恢复代理以及变更加密数据恢复策略设置。执行软件安装组策略软件安装管理单元用于集中管理软件。软件可以指派或者发布给用户，同时也可以指派给计算机。 软件安装组策略可以用于计算机启动，用户登录或者发出软件安装请求时安装应用程序。此策略设定可以 被应用到活

19、动目录架构中的用户或者计算机。软件安装策略也可以用户升级已发布的应用程序，或者卸载早期安装已不再需要的应用程序。此策 略限制用户从本地介质，比如 CD-ROM ,或者磁盘安装任何应用软件或者其他未经授权的应用程序。中、大型的组织可以考虑使用Systems Management Server （SMS）. SMS提供高性能的服务，诸如基于对象的清单，状态报告，服务和客户端计划任务，多站点设施，混合对象，集中的硬件和软件清单，远程诊断工具，软件测定，软件发布点的数目与维护，支持 Windows 95, Windows 98, Windows NT?4.0, Windows 2000和 Windows XP客户端以及增强型软件发布功能。SMS不需要活动目录。远程操作系统安装管理远程安装服务(RIS)用于控制如同客户端计算机所显示的，远程操作系统安装功能。远程安装允许