Windows Server下的組策略技術(shù)研究

摘 要 通常我們可以利用控制面板、注冊表等來對系統(tǒng)、外觀或網(wǎng)絡(luò)等進行一些常用設(shè)置，但是需要每臺機器都要進行重復(fù)性操作，如果是批量對若干臺電腦進行設(shè)置，可以使用windows server系統(tǒng)自帶的組策略工具。本文主要介紹windows server系統(tǒng)下的組策略技術(shù)。

關(guān)鍵詞 windows server;組策略;網(wǎng)絡(luò)

引言

統(tǒng)一的企業(yè)化管理通常需要對員工的電腦進行統(tǒng)一化配置。如配置相同的桌面背景、統(tǒng)一的安全性設(shè)置等。這些設(shè)置可以通過注冊表來完成，但是需要每臺機器都要進行重復(fù)性操作，并且修改注冊表需要對注冊表的鍵值有一定的了解，操作也不是特別方便。組策略是一組策略的集合，可以對域中的計算機和用戶進行統(tǒng)一的管理，如對一組計算機設(shè)置統(tǒng)一的桌面背景、進行統(tǒng)一的安全性設(shè)置，或?qū)σ恍┸浖M行強制安裝等。

1組策略的工作原理

組策略應(yīng)用在域環(huán)境當(dāng)中。它的工作原理是，在域控制器上設(shè)置組策略后，域中所有的計算機和用戶在開機或登錄時就會自動聯(lián)系域控制器，尋找相應(yīng)的組策略，如果找到相應(yīng)的策略，就會應(yīng)用到計算機上。使用組策略可以給若干臺計算機或者用戶制定一套統(tǒng)一的策略，不用對每臺電腦進行設(shè)置。組策略中每一個策略都和注冊表中的某個鍵值是相對應(yīng)的，應(yīng)用組策略時，系統(tǒng)會根據(jù)設(shè)置自動修改注冊表，從而達到系統(tǒng)環(huán)境改變的目的[1]。

2組策略的設(shè)置內(nèi)容

組策略的設(shè)置內(nèi)容有以下幾類：安全性設(shè)置、腳本的設(shè)置、軟件的安裝設(shè)置、管理模板設(shè)置。安全性設(shè)置主要指賬戶策略、本地策略等的設(shè)置。腳本的設(shè)置包括登錄與注銷、啟動與關(guān)機等腳本的設(shè)置。軟件的安裝設(shè)置包括自動為用戶安裝、修復(fù)、刪除應(yīng)用軟件。管理模板設(shè)置主要是一些計算機環(huán)境設(shè)置，如隱藏用戶桌面上所有的圖標、在開始菜單中添加選項、文件夾重定向等[2]。

3組策略對象

組策略的設(shè)置數(shù)據(jù)保存在組策略對象中，組策略對象簡稱GPO，是Group Policy Object的縮寫。GPO是組策略設(shè)置的集合。要設(shè)置組策略，必須先創(chuàng)建組策略對象。當(dāng)我們在windows server系統(tǒng)下安裝完活動目錄域服務(wù)后，該計算機就自動升級為域控制器。系統(tǒng)會在域控制器中自動創(chuàng)建兩個默認組策略對象，分別為Default Domain Policy（默認域GPO）和Default Domain Conrollers Policy（默認域控制器GPO）。默認域GPO中的策略影響域內(nèi)的所有用戶和計算機。而默認域控制器GPO只影響所有域控制器中的用戶和計算機。除了兩個默認組策略對象外，我們可以自定義組策略對象。

一個組策略對象的內(nèi)容分為兩部分：組策略容器GPC和和組策略模板GPT，GPC是Gourp Policy Container的縮寫，GPT是 Group Policy Template的縮寫。GPC主要用于記錄組策略對象的屬性和版本等信息。在域控制器中打開活動目錄用戶與計算機，在system的polices下有兩個文件夾，里面分別存放著默認的域GPO和域控制器GPO的屬性和版本信息。文件夾的名字代表組策略對象的唯一的ID值。例如，文件夾名為{31B2F340-016D-11D2-945F-00C04FB984F9}的組策略代表默認域GPO，而31B2F340-016D-11D2-945F-00C04FB984F9就是默認域GPO的ID。文件夾名為{6AC1786C-016F-11D2-945F- 00C04FB984F9}的組策略為默認域控制器GPO，而6AC1786C-016F-11D2-945F- 00C04FB984F9是默認域控制器GPO的ID值。

GPT 內(nèi)容存儲默認位置“%systemroot%＼ SYSVOL＼domain＼Policies”下的sysvol文件夾中，存儲組策略的具體設(shè)置，打開這個文件夾后，里面有兩個文件夾，分別存放著兩個默認的組策略的具體設(shè)置。當(dāng)我們創(chuàng)建了自定義的組策略對象后，會自動生成一個名為該組策略ID的文件夾用來存放設(shè)置數(shù)據(jù)。

4組策略鏈接

GPO創(chuàng)建好后必須進行鏈接才能生效。GPO所鏈接的對象有：S（站點）D（域）OU（組織單元），簡稱SDOU。同一個GPO可以鏈接到多個站點、域或組織單元。一個站點、域或組織單元也可以鏈接多個GPO。GPO控制的對象有兩種：計算機和用戶。我們以默認域GPO為例看一下?？梢钥吹接騁PO中包含兩部分設(shè)置，計算機設(shè)置和用戶設(shè)置。

計算機配置用于管理控制計算機特定項目的策略。包括桌面外觀、安全設(shè)置、操作系統(tǒng)下運行、文件部署、應(yīng)用程序分配和計算機啟動和關(guān)機腳本運行?？蛻舳擞嬎銠C啟動后在操作系統(tǒng)初始化以及系統(tǒng)檢測周期內(nèi)，沒有登錄到域之前生效。無論哪個用戶登錄到計算機，客戶端計算機都將首先應(yīng)用計算機配置策略。

用戶配置用于管理控制更多用戶特定項目的管理策略。包括應(yīng)用程序配置、桌面配置、應(yīng)用程序分配和計算機啟動和關(guān)機腳本運行等。用戶登錄到域中時生效。無論用戶登錄哪一臺計算機，都將應(yīng)用同樣的用戶配置策略。

5結(jié)束語

組策略是一個強制管理計算機設(shè)置的方法。 優(yōu)點是十分靈活，只需設(shè)置一次，相應(yīng)的用戶或計算機即可全部使用規(guī)定的設(shè)置，減少用戶不正確配置環(huán)境的可能性，組策略的設(shè)置必須在域控制器上，組策略只能夠管理計算機與用戶，無法管理打印機、共享文件夾等其他對象。

參考文獻

[1] 顧武雄.Active Directory組策略[J].網(wǎng)絡(luò)安全和信息化，2020（4）：58-59.

[2] 楊震，王路.淺談Windows的組策略[J].甘肅農(nóng)業(yè)，2006（2）：226.

作者簡介

郭麗（1981-），女，山東聊城市人;畢業(yè)院校：曲阜師范大學(xué)，專業(yè)：計算機應(yīng)用，學(xué)歷：研究生，現(xiàn)就職單位：北京信息職業(yè)技術(shù)學(xué)院，研究方向：計算機網(wǎng)絡(luò)技術(shù)。