第09章组策略课件.docx

第09章组策略课件.docx

《第09章组策略课件.docx》由会员分享，可在线阅读，更多相关《第09章组策略课件.docx（17页珍藏版）》请在冰豆网上搜索。

第09章组策略课件

组策略

概述

组策略（GroupPolicy）是Windows2000中的一个重要的配置和管理工具，管理员可以使用GroupPolicy来进行计算机和用户的管理和控制。

这些管理工作包括修改注册表的策略设置，安全性设置，软件安装，脚本，启动和关闭计算机，用户登录和注销等。

通过管理员控制的用户桌面设置，GroupPolicy可以使一个企业降低总拥有成本。

什么是组策略

使用策略（Policy）来实现集中管理，在微软的产品中早已有之。

在NT4.0中，使用系统策略编辑器来为整个域中的用户、组和计算机制定一个策略，使之能够实现统一的管理，以及使用域用户管理器中的策略菜单为域制定账户策略和权利的委派，都是以策略的形式实现的。

管理员可以使用这些手段进行集中的管理。

但是，以前策略主要的作用是锁定，通过锁定用户的桌面来实现管理的目标，因此使得我们不能为某个用户或某一些用户按照他们的需求定制一些策略，并且整个策略文件对于一个域来说也只有一个，所有的策略内容都存在其中，随着域的增大，策略内容的增多，策略文件的执行时间也会越来越长，导致用户登陆的时间延长。

除此之外，还有一个最大的缺点，就是安全性很差。

所有的策略设置都将在注册表中添加内容，在策略被删除后还会持续作用在注册表和用户配置文件中。

在Windows2000中，组策略克服了以前的大部分缺点，并且把所有可以分发出去的内容都加了进来，使得网络管理员的工作可以完全依赖于组策略。

在某种意义上说组策略实际上是策略的组合，但是组策略是基于ActiveDirectory的，组策略的设置和管理都在AD中进行，然后通过Windows2000AD的控制机制作用到域中的所有用户和计算机上。

在Windows2000中有一个重要的概念，称为改变和配置管理（ChangeandConfigurationManagement），这是Windows2000设计的用于系统和网络自动配置的技术，而组策略则是其中重要的组成部分。

改变和配置管理包含有两方面内容：

智能镜像（IntelliMirror）和远程操作系统安装（RemoteInstallationService）。

智能镜像帮助实现用户的数据管理，软件安装及维护，和用户设置管理，简而言之就是“Everythingfollowyou”，不管用户在什么地方的那个计算机登录，都可以得到用户的数据、桌面和软件。

远程操作系统安装负责进行操作系统的快速安装，设置及维护。

所有的这些实现都离不开一项核心技术，就是组策略。

在这里大家可以看一下组策略能够给我们带来的好处。

例如你是一家公司的网络管理员，有一天你的一个用户告诉你说他的计算机坏了。

这时你只需要把一台新的计算机给他，按下电源开关，把坏的计算机拿走就可以了。

用户只是等待计算机的所有操作都进行完之后，就可以使用了。

所有用户的数据都还在，所有需要的软件已经安装好，系统的设置也和以前一样。

就是这样。

组策略是你能为你的用户指定需求，并且依赖于windows2000，要在上面不断执行的技术。

这里有几个方面的含义。

第一，为你的用户指定需求，即由你的用户提出的需求，也就是他想要实现什么样的系统设置，要什么样的桌面，必须使用的软件，等等。

同时，用户提出的要求不需要他们自己去实现，而是由管理员负责。

我们可以不必对用户要求太高，并且能够实现集中管理。

第二，依赖于Windows2000，只能由Windows2000来体现组策略，这个新特性不能脱离Windows2000。

第三，在上面不断执行的技术。

从这里我们可以看到，不但我们可以使用组策略为我们的用户指定需求，而且当需求改变以后，也可以马上生效。

不过另一面大家也可以看到组策略的使用是会带来不小的网络流量的。

组策略的建立

要成功使用GroupPolicy，需要以下的条件：

♦ActiveDirectory

♦Windows2000

♦不支持WindowsNT4.x或更早产品

♦不支持Windows9.x或更早产品

组策略的基本构成

组策略在AD中的建立由两个部分组成：

组策略对象（GroupPolicyObject,GPO）和组策略对象连接（GPOLink）。

组策略对象

所有的组策略的设置都被保存在组策略对象中。

无论什么时候我们要做什么样的设置，首先都是为这些设置找一个地方来存放它的内容，这个地方就是组策略对象。

一个组策略对象是一个ActiveDirectory的对象，就像用户，计算机账户一样，我们可以在ActiveDirectoryUsersandComputers中管理它。

组策略对象存放在AD的System容器的Policies子容器中，另外有部分存放在sysvol中。

在需要建立组策略的时候，总是先创建组策略对象。

我们可以建立多个组策略对象，每个GPO都可以由不同的或相同的策略配置。

组策略对象必须在域中创建。

组策略对象连接

GPO的建立并不设置GPO对那些用户或计算机产生作用，所以任何一个组策略对象中的设置要想生效，都必须通过组策略对象连接（GPOLink）连接到某个地方。

也就是说，谁是你的策略设置的承受方，谁接受你做的策略设置，你需要把组策略与那个地方建立一个连接。

在Windows2000AD中的有三类对象可以建立GPOLink：

Site,Domain与OrganizationalUnit（可以简写为SDOU）。

也就是说组策略可以在这三个地方生效，所以我们可以在这三个地方去创建我们的组策略对象和组策略对象的连接。

创建GPO和GPOLink

我们先来看一下在OU上创建GPOLink。

在需要创建的OU（这里是lab）上，点击右键，选择属性，选择GroupPolicy属性页。

GroupPolicy属性页

选择New,输入要创建的GPO的名字lab’gpo，一个新的GPO和GPOLink就建立了。

在这里选择New,做了两件事情：

第一，新建了一个组策略对象GPO；第二，把这个组策略对象连接到了当前的位置，也就是lab这个OU上。

请注意上图中的列表并不是组策略对象GPO的列表，而是组策略对象来连接GPOLink的列表。

可以使用以下的方法来检验这两个步骤。

还是在当前的GroupPolicy页面上，选中已经创建的组策略对象连接的列表中的连接lab’gpo，然后按下Delete按钮，出现如下图所示的窗口，选择是只删除连接，还是把连接和组策略对象同时删除。

我们选择只删除连接，按下OK，这时窗口又回到最初的状态，但是我们只删除了连接，并没有删除组策略对象，因此与最初又有所不同。

删除组策略

现在按下Add按钮出现了一个添加组策略对象连接的窗口，默认显示当前OU（lab）的所有组策略对象连接的列表，选择All菜单。

新建GPOLink

在这里我们可以看到我们刚才创建的组策略对象lab’gpo了，选中它之后，再按OK按钮现在，我们把一个组策略对象lab’gpo连接到了一个OU（lab）上。

现在又恢复到了删除前的状态，不同的是GPO并没有变化，变化的是GPOLink。

组策略的设置

现在我们开始在组策略对象中设置策略。

在GroupPolicy窗口中，选中我们新建的组策略对象lab’gpo，选择Edit，打开GroupPolicy。

组策略设置

组策略内容的设置由两个大的方面构成：

计算机的配置（ComputerConfiguration）和用户的配置（UserConfiguration）。

也就是说我们可以利用一个组策略对象同时来为计算机和用户作配置。

对于一个位置上的GPOLink，如一个OU上的GPOLink，GPO中的计算机配置只对OU中的计算机帐户其作用，而GPO中的用户配置则只对OU中的用户帐户其作用。

在GPO中有很多可配置的策略，我们介绍其中5类常用的策略，分别如下：

1．AdministrativeTemplates（管理模板）

管理模板是基于注册表的策略，所有管理模板的策略的设置都是一样的，有三种选择。

下图是一个将“Run”菜单从”Start”菜单中隐藏的策略。

管理模板策略设置

♦NotConfigured系统默认，也就是系统当前缺省的状况，本策略不产生影响

♦Enabled选中，启用这项设置，就是把开始菜单中Run命令行移走

♦Disabled禁用，禁止使用这项设置，如上图，就是把已经启用的设置，也就是Run命令行已经不再开始菜单中，恢复原样，就是在把Run放回到原来的位置。

所有注册表基础的策略都有Explain页，对本策略作出解释。

如果不明白该设置的用途，可以查看解释。

对策略的解释

在解释中我们可以看到，这个策略是把开始菜单中的Run命令行和任务管理器中的NewTask（Run）命令行拿掉。

并且，使用扩展键盘的用户不再能使用按下应用程序键（带有Windows图标的键）来显示Run对话框。

这个策略只影响指定的界面。

不阻止用户采用其他的方法来运行应用程序。

因此，我们可以自己来学习所有的注册表基础的策略设置。

在计算机的配置和用户的配置都可以设置AdministrativeTemplates管理模板的内容。

2．Security（安全）本地，域，和网络的安全选项

安全设置分别放在用户配置和计算机配置的WindowsSetting中。

在计算机的设置中，有：

名称描述

AccountPolicies（账户策略）口令，账户锁定，Kerberos策略（只在域的组策略设置中）

这些设置将对账户有效

LocalPolicies（本地策略）审核,用户权力，和安全选项策略

这些设置将对计算机有效。

本地策略是基于你登录的计算机的设置，以及在指定的计算机上你的权利

EventLog（时间日志）事件日志设置和事件查看器设置

定义了与Application应用程序，Security安全，和System系统事件日志有关的属性：

最大日志大小，每个日志的访问权利，和维护的设置及方法

RestrictedGroups（限制组）限制组

可以把一些与安全关系比较紧密的组在这里定义它的成员都有谁以及它是谁的成员。

所有在这里的组的成员和是谁的成员将由于组策略的执行而始终与这里的定义相同

SystemServices（系统服务）系统服务设置

可以对所有的系统服务设置启动类型和管理服务的许可

Registry（注册表）注册表安全设置

可以控制注册表中的CLASS_ROOT，MACHINE，USERS中的键的访问许可，以及继承方法

FileSystem（文件系统）文件安全性设置

可以控制文件系统中的文件夹或者文件的访问许可，以及继承方法

PublicKeyPolicies（公钥策略）设置与公钥有关的参数

IPSecurityPoliciesonActiveDirectory（在活动目录中的IP安全策略）管理IPSec

在用户的配置中，有：

PublicKeyPolicies（公钥策略）设置与公钥有关的参数，只包含EnterpriseTrust。

3．SoftwareInstallation（软件安装）集中的软件分发管理

在计算机的配置中的SoftwareInstallation下，给计算机定制需要的软件；在用户的配置中的SoftwareInstallation下，给用户定制需要的软件。

关于软件分发的内容在下一章会详细讲解。

4．Scripts（脚本）开机，关机，登录，离线脚本

在计算机配置的WindowsSetting中，包含开机和关机脚本；在用户配置的WindowsSetting中包含登录和离线脚本。

配置方法如下：

双击任意一个脚本，比如离线脚本（LogoffScripts）

点击Add按钮添加新的脚本

可以利用Browse按钮，浏览查找我们要使用的脚本文件，在ScriptParameters中设置脚本运行的参数

最后，按下OK按钮，完成脚本的设置

添加新的脚本

上述操作可以反复进行，添加多个脚本。

脚本的执行顺序可以通过UP，DOWN按钮来进行调整。

脚本间执行的延迟可以通过组策略的设置进行改变。

5．FolderRedirection（文件夹重定向）在网络上存储用户的文件

可以把用户的五个文件夹：

ApplicationData应用程序数据，Desktop桌面，MyDocuments我的文档，MyPictures我的图片，StartMenu开始菜单重定向到网络上。

对于用户的最终效果，无论用户在哪一台计算机上打开他自己的这五个文件夹，看到的都是相同的内容。

文件夹重定向只存在于用户的配置中。

设置时首先选中需要重定向的文件夹，右键选择属性，比如MyDocuments我的文档文件夹

重定向文件夹

然后在MyDocumentsProperties窗口中，按下下拉列表框键。

我们可以做两种选择，一种是基本，重定向所有人的文件夹到相同的位置；另一种是高级设置，为不同的组设置不同的文件夹重定向的位置。

但是无论我们做哪一种设置，都需要使用UNC路径作为最终路径。

高级重定向

组策略的生效

通过学习，我们已经知道创建组策略需要创建组策略对象，配置组策略对象的内容，再把它连接到我们想要生效的地方（SDOU）,就可以实现我们的目标了。

但是不是真的能实现我们的目标了呢？

还差一步，就是组策略的生效。

组策略生效的范围

缺省情况下，组策略对象对组策略对象连接的位置下所有的用户和计算机有效。

比如把lab’gpo连接到labOU，那么所有的这个OU中的用户和计算机都受到影响。

在组策略对象中计算机的配置将影响这个OU中所有的计算机，用户的配置将影响这个OU中的所有配置。

因此，我们做的组策略的设置，需要影响到哪些计算机和用户，就要保证这些相应的用户和计算机在我们设置组策略的容器下。

组策略对象的许可

组策略对象是一个活动目录的对象。

所有活动目录的对象都有安全设置，也就是谁可以访问这个对象，可以访问这个对象的那一部分，是否可以修改，等等。

组策略对象也可以设置许可。

就在GroupPolicy的页面上，选择属性。

GPO的属性中一共有3个属性页，分别是General,Link和Security。

GPO属性—General

Gernarel页面中可以看到这个GPO对象的一些属性，包括建立时间，修改时间，版本，域和用GUID表示的唯一名字。

下面还有连个选项，可以单独或同时禁用此GPO的计算机和用户配置。

如果此GPO只用于用户的配置，就可以禁用计算机的配置，这样能够减少系统的消耗。

反过来也一样。

但是两个同时禁用也就意味着禁用了这个GPO。

Link页面中可以显示所有的这个组策略对象的连接，也就是说在那些地方（SDOU）引用了这个GPO（GPOLink）。

GPO权限管理

Security页面中设置对这个组策略对象的许可。

只有同时拥有Read和ApplyGroupPolicy的权限的用户和计算机，才会应用组策略，其他情况都不会应用组策略。

默认的许可有

♦AuthenticatedUsers（所有通过身份验证的用户）Read/ApplyGroupPolicy

♦System,DomainAdmins,EnterpriseAdmins,CreatorOwnerRead/Write/CreateAllChildObjects/DeleteAllChildObjects

那么，我们的组策略究竟生效与否呢？

把要受组策略影响的用户，组，或者计算机加入到这里来，给予读和应用的权限。

就可以使策略生效了。

因为GPO是AD中的一个对象，任何一个AD中的用户或计算机要使用此对象，当然需要遵循AD的安全性规则，用户或计算机要能读出（Read）GPO中的配置，然后还要用到自己身上（ApplyGroupPolicy）。

在这里我们看到了另外一种应用的方法，如果我们希望只有OU中的一部分用户应用某个组策略，那么就可以为这些用户赋予Read&ApplyGroupPolicy的权限，当然首先要去掉AuthenticatedUsers的Read&ApplyGroupPolicy的权限。

或者保持AuthenticatedUsers的权限不变，同时为不应用此组策略的那些用户设置DenyRead&ApplyGroupPolicy的权限。

这为我们的策略配置提供了更多的灵活性。

组策略的优先级

上面我们都是从管理员的角度来考虑如何进行一个统一的集中的管理，接下来我们站在最终用户的角度上，我登录以后的界面究竟会是什么样子的呢？

一个用户的策略设置来源于三个方面：

Site站点，Domain域，OU组织单元。

管理员在这三个地方做的设置都有可能会影响到用户的设置。

因此，大多数情况下，我们并不会随便的设置组策略。

如果管理员作了一些设置，那么缺省情况下组策略是继承的。

也就是说

用户的策略设置=Site+Domain+OU上的设置

比如，管理员在Site上做的设置是把所有的Run命令行从开始菜单中拿掉，在域上做得设置是隐藏网上邻居图标，在OU上做得设置是把我的电脑中的驱动器图标全部隐藏，那么用户最终的组策略设置就是既没有Run,又没有网上邻居，也没有我的电脑中的驱动器。

这个例子是说管理员在不同的位置作了不同的设置，如果是在不同的位置对相同的内容作了不同的设置，又将会是怎么样呢？

一般的规则是，在冲突的前提下，近处的设置覆盖远处的设置，或者是后执行的覆盖先执行的。

在三类位置中，Site最远，其次是Domain，然后是OU。

在同一个位置也可以设置多个GPOLink，这些GPOLink当然也有优先顺序。

位置越上面的优先级越高，因为它执行越晚。

也就是说这些GPO的执行顺序是从下到上的。

所以在组策略的页面上有Up和Down两个按钮可以用来调整顺序。

在我们打开计算机以后，Windows2000开始引导，先应用计算机的策略设置，再执行计算机的开机脚本；然后在用户输入身份通过身份验证之后应用用户的策略设置，最后是用户登录脚本。

在前面我们学习了活动目录以后，知道我们可以在森林中的任意一台计算机上登录到我们自己的域，如果我们在其他域的计算机上登录的话，这台计算机首先要应用他所在的域的策略设置，之后才是我们域中对账户的策略设置。

组策略的继承

前面已经提到，上层的组策略会应用到包含的所有用户和计算机对象。

如Domain的组策略会影响域中的所有用户和计算机，而上级OU的组策略会影响到子OU中的用户和计算机。

在组策略的配置中，有两个参数对这种继承产生影响。

这个继承是可以被中断的，就像AD权限的中断。

在GroupPolicy属性页的下端有一个BlockPolicyinheritance选项，可以用来中断来自上层的组策略，包括Site，Domain和上级OU建立的组策略。

然后可以应用自己建立的组策略了。

GroupPolicy属性页

在GroupPolicy属性页中，我们选中一个GPO，然后点击Options按钮，就会出现GroupPolicyOptions窗口。

GroupPolicyOptions

窗口中的Disabled选项可以让这个GPOLink（注意不是GPO）失效，而NoOverride则可以强化此GPOLink的继承能力，也就是说此GPO可以作用到所有的下级对象，并且不能被覆盖，包括有冲突的策略。

关于BlockPolicyInheritance和NoOverride，有以下注意事项：

♦NoOverride是设置在GPOLink上的，不是在Site,Domain,OU或GPO上

♦BlockPolicyInheritance设置在Domain和OU上，中断来自高层的组策略设置

♦NoOverride优先于BlockPolicyInheritance，如果两者产生冲突的话

组策略的刷新

计算机的策略设置在开机后从AD中应用到计算机，而用户的策略设置则是在用户登录时，输入用户名和口令并通过身份验证后应用。

在以后的时间里，客户机的操作系统会周期性的从AD查询组策略的变化并应用新的设置。

这可以保证组策略的改变不需要域中的所有计算机和用户重新启动或重新登录。

缺省的计算机设置和用户设置的刷新周期是每90分钟一次，域服务器的计算机设置的刷新周期是5分钟。

这些设置是可以修改的，在DomainControllersOU上的ComputerConfiguration/AdministrativeTemplates/System/GroupPolicy/GroupPolicyRefreshIntervalforComputers用来设置计算机的刷新周期，而同一位置上的GroupPolicyRefreshIntervalforDomainControllers用来设置DC的刷新周期。

用户的刷新周期设置在组策略编辑工具中的位置是UserConfiguration/AdministrativeTemplates/System/GroupPolicy/GroupPolicyRefreshIntervalforUsers。

组策略的刷新周期

将刷新周期设为0分钟使系统按照7秒钟的周期刷新，但是短的属性周期会造成系统的资源浪费，所以一般只用于实验环境。

并不是所有设置都可以刷新，软件分发安装的设置和用户文件重定向的设置就不会随着刷新立即改变。

它们需要重启系统或重新登录。

如果我们希望马上看到对组策略的修改的效果，有一个命令行工具可以完成立即的刷新，对于计算机设置：

Secedit/refreshpolicyMACHINE_POLICY[/enforce]

对于用户设置：

Secedit/refreshpolicyUSER_POLICY[/enforce]

其中/enforce强迫更新Security和EFS的设置，不过是否有改动，但是不影响其它设置。

小结

当网络的规模扩大到一定程度时，管理的难度会急剧增加。

而如果管理不善则可能造成多方面的损失，包括效率、安全和经济上的损失。

组策略是Microsoft为了降低TCO的一种尝试，Microsoft在不断地开发降低TCO的方法并在Windows2000中集成到了操作系统和AD内。

组策略的正确运用包括了如下几个方面：

♦设置的策略是针对计算机的还是用户的（分别位于ComputerConfiguration和UserConfiguration中）

♦组策略设置的位置（SDOU），也就是作用的对象范围（此位置内的计算机和用户对象）

♦被作用的计算机和用户对象对组策略的权限（Read&ApplyGroupPolicy）

♦区分GPO和GPOLink

♦多个组策略之间的继承、覆盖和优先级是否正确

♦组策略是否已经被刷新