什么是组策略活动目录域AD Group Policy Collection之一此文译自 Group

1、什么是 HYPERLINK /logs/18223191.html HYPERLINK /logs/18223191.html 组组策略 HYPERLINK /c1404552/ 活活动目录录域ADD Grroupp Pooliccy CColllecttionn之一此此文译自自 HYPERLINK /technet/prodtechnol/windowsserver2003/library/TechRef/6d7cb788-b31d-4d17-9f1e-b5ddaa6deecd.mspx Grroupp Pooliccy CColllecttionn HYPERLINK /logs/1822

2、3191.html 组策略是是一个允允许您执执行针对对用户和和计算机机进行配配置的基基础架构构。组策策略设定定包含在在组策略略对象中中(GPPOs)，它们们被链接接到这些些活动目目录服务务的容器器：站点点，域或或者组织织单元(OUss)。这这些GPPO中的的设置随随后利用用活动目目录的层层级性质质，实施施于受影影响的对对象。因因此，组组策略是是部署活活动目录录的一个个最主要要的原因因之一，因为它它能够让让您方便便的管理理用户和和计算机机对象。 HYPERLINK /logs/18223191.html 组策略是是组管理理技术之之一，这这些统称称为InntellliMMirrror 管理理技术，

3、即便用用户从网网络中脱脱离，仍仍然可以以在任意意被管理理的计算算机上向向用户提提供统一一的应用用程序，应用程程序设定定，漫游游用户配配置文件件以及用用户用户户数据。InttellliMiirroor 通通过一组组Miccrossoftt WWinddowss 功功能得以以实现，这包括括活动目目录，群群组策略略，软件件安装，Winndowws IInsttalller，文件夹夹重定向向，脱机机文件夹夹以及漫漫游用户户配置文文件。这个集合合包括如如下组策策略领域域的内容容：? 核心心群组策策略 ? 组策策略组件件 ? 组策策略管理理工具此章节介介绍组策策略管理理的概念念和结构构，概述述组策略略集合

4、的的内容以以及描述述组策略略设定。组策略管管理管理员面面对ITT架构中中日益复复杂的挑挑战，您您必须为为各类员员工发布布、维护护定制的的桌面设设定，如如移动用用户，信信息工作作者以及及其他严严格界定定工作任任务的用用户，比比如数据据录入。安全设设定和更更新必须须有效的的传递给给组织中中的所有有计算机机和设备备。而用用户不必必经过昂昂贵的培培训就可可以投入入生产。在遭遇遇计算机机崩溃或或者灾难难性事件件中，服服务必须须在最小小数据丢丢失和中中断下恢恢复。所所有这些些任务，总所周周知的改改变和设设置管理理，必须须尽可能能低开小小的情况况下完成成。您需需要能够够做到快快速的执执行变更更以及对对于大量

5、量用户和和计算机机实施。组策略略就是允允许您在在活动目目录中基基于对象象一级执执行变更更的基础础结构。 您需要能能够一次次定义这这些设置置，依靠靠操作 HYPERLINK /c1404551/ 系系统强制制执行状状态。使使用活动动目录， 可以以将GPPOs 链接到到站点，域以及及，允许许将组策策略设置置应用到到用户和和计算机机。另外外， 通通过对于于一些针针对服务务器操作作和安全全性的设设定，GGPOss 可以以协助管管理服务务器。 这个基基础架构构具有很很强的适适应能力力，允许许您自定定义配置置，诸如如为一个个ou中中，基于于成员关关系的用用户，发发布指定定的软件件。另外外，组策策略管理理控

6、制台台(GPPMC) 简化化拉群组组策略的的执行和和管理。 组策略结结构组策略采采用一个个中央文文档的方方法去创创建，存存储和关关联组策策略设置置。与MMicrrosooft Worrd 将将信息存存储在.docc 文件件的发放放相类似似，组策策略设置置存储在在GPOO中。GGPO 是个虚虚拟的对对象 ，组策略略设置信信息存储储在两个个位置：链接GGPO的的活动目目录容器器和 HYPERLINK /logs/18971316.html 域控控制器上上的Syysvool 。 设置组策策略主要要通过两两个工具具:组策策略对象象编辑器器，(以以前大家家知道是是使用组组策略插插件，组组策略编编辑器或或

7、者Gppediit) 和组策策略管理理控制台台(GPPMC)，它们们都可以以从Miicroosofft 网网站上下下载到。组策略略对象编编辑器用用户设置置修改GGPO中中的设置置，而 GPMMC 用用于创建建、查看看和管理理GPOO。 下下图中展展示了组组策略架架构，以以及各祖祖尧组件件是如何何通过读读写访问问互相影影响的。随后的的表格中中描述了了各相关关组件。组策略结结构组策略组组件 组件描述服务器 (域控控制器) 在活动目目录森林林中，域域控制器器是一台台包含活活动目录录数据库库的拷贝贝，参与与 HYPERLINK /logs/16944333.html 活动目目录复制制以及控控制网络络资

8、源访访问服务务器， 活动目录录活动目录录，基于于Winndowws目录录服务，存储网网络中对对象的信信息，并并将信息息提供给给用户和和 HYPERLINK /c1404551/ 网络管管理员。管理员员将GPPOs 链接到到诸如站站点，域域和OUUs 等等包含了了用户和和计算机机对象的的容器上上，从而而将组策策略设置置实施于于组织中中的用户户和计算算机。 组策略对对象(GGPO)GPO是是一个组组策路设设置的集集合，作作为一个个虚拟的的对象存存储在域域中，由由组策略略容器(GPCC) 和和组策略略模板(GPTT)组成成。GPPC，包包含GPPO的属属性信息息，存储储在域中中每台域域控制器器活动目

9、目录中。GPTT 包含含GPOO 的数数据，存存储在SSysvvol 的 /Polliciies 子目录录下。GGPO能能够影响响包含在在站点，域和OOU中的的用户和和计算机机。 SysvvolSysvvol 是一个个 HYPERLINK /logs/16616187.html 共享目录录，存储储了域中中公用文文件的副副本，此此副本在在域中所所有的域域控制器器之间同同步。 Syssvoll 包含含了GPPO中的的数据: GPPT，包包含了基基于组策策略设置置，安全全设置， HYPERLINK /c1404554/ 脚本文件件以及关关于软件件安装应应用程序序的相关关信息的的管理模模板。它它通过文

10、文件复制制服务 (FRRS)得得以同步步。本地组策策略对象象本地组策策略对象象(loocall GPPO)存存储在每每台个人人计算机机上的%sysstemmrooot%Sysstemm32GrooupPPoliicy 目录下下，具有有隐藏属属性。每每一台运运行Wiindoows 20000, Winndowws XXP PProffesssionnal, Wiindoows XP 64-Bitt Edditiion, Wiindoows XP Meddia Cennterr Edditiion或或者 WWinddowss Seerveer? 20003 的的计算机机，不论论它是否否处于活活动目

11、录录环境中中，都设设置了严严格的llocaal GGPO。 Locaal GGPOss 不支支持某些些扩展，比如文文件夹重重定向或或者软件件安装组组策略。也不支支持一些些安全性性设定，但组策策略对象象编辑器器的安全全设定扩扩展不支支持loocall GPPO的远远程管理理。Loocall GPPOs 始终在在执行，但它在在活动目目录环境境中影响响力最小小，因为为基于活活动目录录的GPPOs 优先。尽管您可可以在个个人计算算机上设设置loocall GPPO，但但组策略略的完整整功能只只有在安安装了活活动目录录的Wiindoows Serrverr 网络络中方能能得以实实现。另另外，一一些功能能

12、和组策策略设置置在客户户端需要要Winndowws XXP的支支持组策略对对象编辑辑器组策略对对象编辑辑器是一一个微软软管理控控制台(MMCC)单元元，用于于编辑GGPO。 之前前是组策策略管理理单元，组策略略编辑器器或者GGpeddit. 服务端管管理单元元MMC 管理单单元默认认情况下下被组策策略对象象编辑器器加载。当客户户端扩展展在目标标客户端端计算机机上执行行实际的的策略设设置的时时候，服服务端管管理单元元扩展提提供用户户接口，允许您您设置不不同的策策略设置置。 管理单元元扩展包包括管理理模板，脚本，安全性性设定，软件安安装，文文件夹重重定向，远程安安装服务务，Innterrnett

13、Exxploorerr 维护护，磁盘盘配额，无线网网络策勒勒以及QQoS Pacckett Scchedduleer. 管理单单元可以以被扩展展，比如如安全设设置管理理单元包包括几个个扩展管管理单元元。开发发者也可可以创建建他们自自己的MMMC扩扩展管理理单元，使得足足策略对对象编辑辑器提供供附加的的组策略略设置。 客户端扩扩展客户端扩扩展(CCSEss) 在在动态链链接库 (DLLLs)中运行行，为组组策略在在客户端端计算机机上的执执行负责责。缺省省状态下下Winndowws SServver 20003装载载如下CCSE: 管理模板板，无线线网络策策略，文文件夹重重定向，磁盘配配额， Qo

14、SS Paackeet SScheeduller，脚本，安全， Innterrnett Exxploorerr 维护护，EFFS 恢恢复，软软件安装装以及IIP 安安全 组策略管管理控制制台 (GPMMC)GPMCC 是一一个新的的进行组组策略单单一化执执行和管管理工具具。它由由一个新新的管理理单元和和组策略略管理的的脚本集集合组成成。组策策略管理理控制台台提供： ? 一个个基于如如何定制制使用和和管理组组策略的的用户界界面，这这比之前前基于技技术如何何构建要要来的好好。 ? 导入入/导出出，复制制/粘贴贴和GPPO的搜搜索? 组策策略相关关安全的的单一化化管理 ? 对于于GPOO和策略略结果

15、集集 (RRSoPP)数据据的报表表(对于于GPOO的打印印，保存存，只读读访问) ? GPPO的备备份/恢恢复? 用此此工具查查看GPPO操作作脚本 (但不不能查看看GPOO中设置置的脚本本).策略结果果集管理理单元(RSooP) 策略结果果集 (RSooP) 管理单单元是一一个单一一的组策策略执行行和错误误排查的的MMCC 管理理单元。RSooP 使使用Wiindoows管管理规范范 (WWMI) 测定定组策略略设定是是如何被被应用到到用户和和计算机机商的。对于RRSoPP功能性性来说，它建议议在GPPMC中中使用此此报表功功能。 WinllogoonWinddowss 操作作系统中中提供

16、交交互式登登陆支持持的组件件，Wiinloogonn 是组组策略引引擎运行行的服务务。. 组策略引引擎组策略引引擎是一一个扩越越客户端端扩展，包括组组策路运运作排程程，从相相关设置置定位中中获取GGPO以以及GPPO的排排序和过过滤，处处理共处处理公用用功能性性的框架架。文件系统统存在于客客户端计计算机上上的NTTFS 文件系系统注册表一个关于于计算机机设置信信息的存存储数据据库，注注册表包包含系统统操作期期间Wiindoows不不断设计计的信息息，比如如： 1. 每每个用户户的配置置文件。 2. 安安装在计计算机上上的程序序和每个个能够创创建的文文档类型型。 3. 文文件夹和和程序图图标的属

17、属性设置置。 4. 系系统硬件件 5. 使使用中的的端口注册表是是树状层层级组织织，它由由键及其其子键，配置单单元以及及注册项项构成。注册表表引擎对对于注册册表具有有读写权权限。注注册表设设置可以以通过组组策略管管理模板板扩展来来控制。 事件日志志事件日志志是一个个服务，处于事事件查看看器，在在系统，安全和和应用程程序日志志中记录录事件。组策略略引擎对对于客户户端和域域控制器器上的事事件日志志具有写写访问。 帮助和支支持中心心帮助和支支持中心心是一个个存在于于每台计计算机上上的组件件，为作作用于计计算机上上的组策策略设置置提供HHTMLL报表。 策略结果果集 (RSooP) 基础结结构所有的组

18、组策略执执行信息息被收集集、储存存在本地地计算机机上的共共用信息息模型对对象管理理(CIIMOMM)数据据库中，这个信信息，例例如列表表、目录录和每个个GPOO处理的的详细记记录，可可以被使使用WMMI的工工具访问问。 在日志模模式(组组策略结结果)，RSooP 查查询目标标计算机机上的CCIMOOM 数数据库，获取关关于策略略的相关关信息并并将其显显示在GGPMCC中。在在规划模模式(组组策略模模型), RSSoP 虚拟出出域控制制器上使使用组策策勒目录录访问服服务(GGPDAAS)的的策略运运作环境境，由GGPDAAS模仿仿GPOO运作，并将它它们传递递给域控控制器上上的虚拟拟客户端端扩展

19、，这个模模拟过程程的结果果在回传传并显示示在GPPMC之之前，存存储在本本地CIIMOMM 数据据库中。WMI WMI是是一个管管理的基基础架构构，它支支持通过过一组公公用界面面实施系系统资源源的监视视和控制制，同时时提供一一个逻辑辑上有组组织的，一致的的Winndowws 操操作、配配置信息息和状态态模型。 WMI收收集目标标计算机机的相关关数据用用于管理理用途，这些数数据包括括硬件和和软件列列表，设设置和配配置信息息。例如如：WMMI公开开诸如CCPU，内存，磁盘空空间，内内存和厂厂商等硬硬件信息息，从注注册表，驱动程程序，文文件系统统，活动动目录，Winndowws IInsttalll

20、er服服务，网网络配置置和应用用程序数数据中获获取软件件信息。Winndowws SServver220033上的WWMI 过滤允允许您给给予这些些数据创创建查询询，这些些查询（也称为为WMII过滤器器）检测测，在您您创建顾顾虑其的的地方，用户和和计算机机将会接接受到的的所有的的策略设设置。 HYPERLINK /logs/18223191.html 组策略 HYPERLINK /resources/documentation/windowsServ/2003/all/techref/en-us/W2K3TR_gp_over.asp?frame=true#toptop l toptop 这个主

21、题题解释了了群组策策略基础础架构，包括组组策略引引擎如何何控制处处理策略略，包括括GPOO的恢复复，个别别扩展的的调用以以及其它它功能性性基础架架构。组策略组组件子集集描述了了服务端端管理单单元扩展展和客户户端扩展展的扩展展角色。这些扩扩展包括括：管理理模板，软件安安装，安安全设定定， HYPERLINK /c1404554/ 脚本本，远程程安装服服务，IInteerneet EExplloreer维护护，文件件夹重定定向，QQoS数数据包调调度程序序, 磁磁盘配额额以及无无线网络络策略 。组策略管管理工具具此子集解解释力包包括组策策略对象象编辑器器，组策策略管理理控制台台以及策策略结果果集管

22、理理单元在在内的管管理工具具 (RRSoPP) 。 HYPERLINK /resources/documentation/windowsServ/2003/all/techref/en-us/W2K3TR_gp_over.asp?frame=true#toptop l toptop 群组策略略被用于于定义用用户和计计算机的的群组配配置。使使用群组组策略，您可以以在大范范围内指指定详细细而精确确的配置置，包括括管理模模板（基基于策略略的注册册表），安全，软件安安装，脚脚本，文文件架重重定向，远程服服务安装装以及IInteerneet EExplloreer 维维护。群群组策略略设置包包含在GGP

23、O中中，通过过将GPPO同选选定 HYPERLINK /c1404552/ 活动动目录 HYPERLINK /c1404551/ 系系统容器器站点点、域和和组织单单元相相关联，GPOO的群组组策略设设置被应应用到那那些活动动目录容容器中的的用户和和计算机机上。这这个章节节将会告告诉您能能够用组组策略去去做什么么。桌面、应应用程序序以及基基于注册册表策略略的组件件管理管理模板板(或者者 .aadm 文件) 允许许您使用用组策略略控制注注册表设设置，提提供设置置桌面的的行为和和外观，这包括括操作系系统，组组件和应应用程序序。Wiindoows 中预先先定义了了一组管管理模板板文件，它们是是作为文文

24、本文件件实现的的（使用用.addm的扩扩展名），注册册表设置置可以定定义在GGPO中中。这些些.addm 文文件默认认保存在在两个位位置: 包含在在Syssvoll 文件件架的GGPO中中和本地地计算机机上%wwinddir%innf 的的目录中中。安全管理理组策略可可以对于于用户、客户端端、服务务器以及及 HYPERLINK /logs/18971316.html 域控制制器，进进行如下下的安全全类型选选项管理理：? 安全全设置 此组策策略设置置用于指指定各种种安全相相关的操操作系统统参数，例如密密码策略略，用户户权限委委派，审审核策略略，注册册表键值值，文件件和注册册表ACCL以及及服务启

25、启动模式式? IPPSecc 策略略 这些些组策略略设置用用于对认认证或者者加密网网络通信信，设置置IPSSec 服务。IPSSec 策略由由一组安安全策略略，每条条安全策策略由一一条作用用的IPP 筛选选构成。? 软件件限制策策略 这这些群组组策略设设置用于于保护计计算机原原理那些些不受信信任的代代码，以以及指定定允许运运行的应应用程序序? 无线线网络策策略 无无线网络络服务，一个针针对每块块安装于于计算机机上，符符合IEEEE8802.11标标准的无无线网卡卡，实施施操作的的用户模模式服务务，这些些群组策策略设置置用于针针对此服服务进行行配置设设定，? 共用用密匙策策略 这这些策略略设定用

26、用于：? 指定定计算机机自动将将证书请请求发送送到权威威认证并并安装发发布的证证书。? 创建建并发布布一个证证书信任任列表? 建立立共用信信任根权权威认证证? 添加加加密数数据恢复复代理以以及变更更加密数数据恢复复策略设设置。执行软件件安装组组策略软件安装装管理单单元用于于集中管管理软件件。软件件可以指指派或者者发布给给用户，同时也也可以指指派给计计算机。软件安安装组策策略可以以用于计计算机启启动，用用户登录录或者发发出软件件安装请请求时安安装应用用程序。此策略略设定可可以被应应用到活活动目录录架构中中的用户户或者计计算机。软件安装装策略也也可以用用户升级级已发布布的应用用程序，或者卸卸载早期

27、期安装已已不再需需要的应应用程序序。此策策略限制制用户从从本地介介质，比比如CDD-ROOM，或或者磁盘盘安装任任何应用用软件或或者其他他未经授授权的应应用程序序。中、大型型的组织织可以考考虑使用用Sysstemms MManaagemmentt Seerveer (SMSS). SMSS 提供供高性能能的服务务，诸如如基于对对象的清清单，状状态报告告，服务务和客户户端计划划任务，多站点点设施，混合对对象，集集中的硬硬件和软软件清单单，远程程诊断工工具，软软件测定定，软件件发布点点的数目目与维护护，支持持Winndowws 995, Winndowws 998, Winndowws NNT 4.00, WWinddowss 20000和和 Wiindoows XP 客户端端以及增增强型软软件发布布功能。SMSS 不需需要活动动目