网络目录服务之六：实现组策略

6．1 组策略介绍

组策略是管理员为网络中的用户和计算机等进行定义并控制程序、网络资源及操作行为的主要的、有效的技术手段。它能同活动目录中的容器连接起来，并由Windows连续的执行使用。它提供了管理网络的巨大能力。

6.1.1 管理和设置组策略的工具

可以使用几种管理工具来管理组策略设置，其中包括：

MMC管理单元：可以采用组策略对象编辑器 Microsoft 管理控制台 (MMC)管理单元来进行本地和域中的组策略设置。

带有 Service Pack 1 的组策略管理控制台 (GPMC)。GPMC 通过简化组策略的管理扩展了默认组策略对象编辑器，从而更容易了解、部署、管理组策略的实施和对组策略的实施进行故障排除。GPMC 还允许通过脚本自动完成组策略操作。

提供其他策略设置的第三方扩展。可用第三方的应用程序来进行组策略的设置。

6.1.2 组策略可以执行的操作
组策略包括影响用户的“用户配置”策略设置，以及影响计算机的“计算机配置”策略设置。通过使用组策略，您可以执行以下操作：

使用“管理模板”管理基于注册表的策略。组策略创建一个包含注册表设置的文件，这些设置将写到注册表数据库的“User”或“Local Machine”部分。

分配脚本。这包括诸如计算机启动、关机、登录和注销之类的脚本。

重定向文件夹。您可以将“My Documents”和“My Pictures”等文件夹从本地计算机上的“Documents and Settings”文件夹重定向到网络位置。

管理应用程序。您可以通过使用“组策略软件安装”来分配、发布、更新或修复应用程序。

指定安全选项。即配置本地计算机以及网络中计算机的安全性。

IE界面。管理和定制微软Internet浏览器的设置。

远程安装服务。运行远程安装服务（RIS）的安装向导时控制用户可能的选项。

6.1.3 组策略对象
可以通过使用组策略对象（GPO）来执行组策略。GPO是执行组策略的机构，它的组件存储在以下两个场所中：

组策略容器（GPC）：GPC是包含GPO属性和版本信息的活动目录对象。一个域控制器使用版本信息来识别它是否有最新版的GPO。如果域控制器没有最新版本，就会从拥有最新版本GPO的域控制器上进行复制。

组策略模板（GPT）：GPT在域控制器的共享系统卷标文件夹里是文件夹的层次结构，包含了组策略的设置信息。计算机和SYSVOL文件夹连接以获得这些设置。

GPT文件夹的名称是创建的GPO的全局唯一标识（GUID：是一个当对象创建时由DC分配给它的独立一无二的128位数，唯一的标识一个对象）。它和GPC中用来识别GPO的GUID是一样的。域控制器上到GPT的路径是：%systemroot%\SYSVOL\sysvol。

6．2 创建组策略

将GPO和站点、域或组织单位链接后，GPO的设置将应用在站点、域或组织单位的用户和计算机上。管理员不能将GPO和默认的活动目录容器――计算机、用户和Builtin相连，因为它们不是OU(组织单元)。
当实现组策略设置时，链接已存在的GPO的能力提供了灵活性。可以在网络中将一个GPO和多个站点、域以及组织单元链接，也可以将多个GPO和单个站点、域及组织单元进行链接。

6.2.1 创建组策略

可以创建一个已连接的组策略对象，也可创建一个未连接的组策略对象。当组策略对象已经存在时，可以直接将其与一个组织单元进行连接。
通过使用活动目录用户和计算机来为域和OU创建GPO，执行下面步骤：
1、打开【Active Directory 用户和计算机】，.右击想创建GPO的域或OU，然后单击【属性】菜单。
2、在出现的属性对话框对话框中，选择【组策略】标签。单击【新建】按钮，然后为新的GPO输入名称。如图所示。



[align=center] [/align]

6.2.2 链接组策略

为了连接GPO到站点、域和组织单元，必须拥有GPO所连接容器的gPLink和gPOptions属性的读写权限。默认情况下，只有域管理员组和企业管理员组的成员才有权连接GPO到域和组织单元。
为了将一个GPO连接到一个组织单元，可以采用以下步骤：
1、打开【Active Directory 用户和计算机】，.右击想创建GPO的域或OU，然后单击【属性】菜单。
2、在出现的属性对话框对话框中，选择【组策略】标签。单击【添加】按钮，然后在已存储GPO中选择一个要进行连接的GPO。如图所示。



[align=center] [/align]

6．3 组策略如何应用于活动目录

组策略如何应用在活动目录上决定了链接应用的组策略设置结果。组策略的设置结果是当存在影响用户和计算机的多GPO和多设置时生效设置。为了想得到想要的结果，必须知道如何确定组策略的设置结果，否则可能配置从未使用的设置。

6.3.1 如何处理组策略

Windows 2000按特定顺序和确定时间间隔处理组策略设置。当计算机启动和用户登录时，Windows 2000首先处理计算机设置，然后处理用户设置。当在处理计算机设置时，运行开始菜单的命令。当在处理用户设置时，运行登录命令。
组策略的处理发生在客户端。组策略通过许多作为客户端扩展的不同动态连接库（DLLs）来处理。每个客户端扩展负责处理不同类型的组策略设置。下表列出了保存在winnt\system32中的客户端扩展和对应组策略设置类型：

6.3.2 控制组策略处理

Windows2000按特定的顺序处理组策略设置，该顺序将影响应用策略的结果。
² 同步和异步处理[/b]
当Windows启动，系统默认就开始从每个GPO“计算机配置”这部分开始同步地按下列顺序处理策略设置：本地、站点、域、OU。当处理完了所有基于计算机的策略，系统提示用户登录到域。接着，系统以处理基于计算机策略时的同样顺序，同步处理基于用户的策略。
为了加速GPO处理过程进而加快用户登录时间，你可以指令Windows异步的而不是同步的应用策略。异步处理策略意味着系统可以不按顺序地下载和处理策略。事实上，用户在系统应用完所有的策略设置之前可以登录到域并且使用计算机――当然，这样做有一定的危险。因为系统最后处理OU策略，许多管理员认为任何“真正”的策略（比如那些覆盖了整个域的策略）都是放在计算机的OU上的。但是如果你异步处理策略，你就失去了这个优势。所以为了提供最大程度的可靠性操作，建议保留同步处理。
² 刷新组策略[/b]
运行Windows 2000的计算机在特定时间间隔里刷新或应用组策略设置。如域控制器每5分钟刷一次组策略，而Windows 20000非DC成员每90分钟（带随机30分钟时间偏离量，时间偏离保证多个计算机不会在同一时间内连接DC）刷新。
可以通过修改组策略设置来修改默认的刷新间隔。也可以通过手动刷新的方法来使组策略立即生效。
在Windows 2000中可以采用以下的命令手动进行组策略的刷新：
对用户设置进行刷新的命令为：secedit /refreshpolicy user_policy /force。
对计算机设置进行刷新的命令为：secedit /refreshpolicy machine_policy /force。
在Windows Serve 2003则采用gpupdate命令刷新本地组策略设置和存储在 Active Directory 中的组策略设置，包括安全设置。该命令可以取代 secedit 命令中已经过时的 /refreshpolicy 选项。
对用户设置进行刷新的命令为：gpupdate /target:user /force。
对计算机设置进行刷新的命令为：gpupdate /target:computer /force。。
也可以直接采用gpupdate /force命令进行刷新。
² 组策略和慢速连接[/b]
组策略能探测慢速连接，如果探测到一个慢速连接，将设定一个标志给客户端扩展以指明该事实。如果设定了标志，单个客户端扩展将决定处理应用的组策略设置。默认情况下，如果连接速度小于500kbps（这个值可以通过组策略设置进行修改），就认为是慢速连接。
下表指出了默认的慢带连接处理：

6.3.3 解决组策略设置的冲突

组策略设置的冲突可能发生在不同的DC上对相同GPO作出修改，也可能发生在GPO连接的应用过程中。
² 指定管理组策略对象的域控制器[/b]
如果两相管理员在相同复制周期里在不同的DC上对相同的GPO作出修改，有可能发生数据丢失。为了避免这种冲突所引起的数据丢失，可以通过指定管理组策略对象的域控制器来避免。
在【组策略编辑器】中，选择【查看】 => 【DC先项】，可以指定下面三种中的任一种管理GPO的域控制器：

具有PDC模拟器操作主令牌的域控制器。这是默认和推荐选项。当发生冲突时以PDC上的设置为准。

具有Active Directory管理单元使用的域控制器。使用当前活动目录管理单元使用的域控制器。当选中这个选项时，组策略管理单元将使用相同的域控制器。

使用任何可用的域控制器。在绝大多数情况下，不要选择这个选项。当使用这个选项时，就意味着选择本站点的域控制器。

² 组策略应用时发生冲突的处理原则[/b]
如果发生冲突，默认的是执行最新的设置；除非用户设置和计算机设置冲突。而在大多数场合下，计算机设置高于用户设置。组策略是累积的，除非两个或多个设置冲突，否则所有GPO设置都将被执行；当冲突发生时确定执行哪个组。
策略设置的原则是：

来自母容器的GPO设置和来自子容器的GPO设置冲突，子容器的设置后执行并发挥作用。

连接到同一容器上的不同的GPO的设置发生冲突，在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用。

组策略累积处理的例外是IP安全性设置和用户权限设置。当执行IP安全性设置和用户权限设置时，最新执行的GPO将改变以前GPO。

GPO 链接到 Active Directory 中的站点、域和 OU 容器，默认的优先级顺序遵循 Active Directory 的分层结构特性，从低到高为：先是本地计算机设置生效，然后是站点、域、最后是每个 OU。当设置发生冲突时，以优先级更高的为准。

6．4 组策略的继承性

通常，组策略将从域内的父容器向下传递到子容器（子域不能从父域继承组策略）。如果为高级父容器指派特定的组策略设置，该组策略设置适用于父容器下面的所有容器，其中包括每个容器中的用户和计算机对象。
如果为父 OU 配置的策略设置与为子 OU 配置的相同策略设置不兼容（因为在一个 OU 中启用该设置，而在另一个 OU 中禁用该设置），则子 OU 不从父 OU 继承策略设置。子 OU 中的策略设置将被应用。

6.4.1 启用阻止继承和禁止替代

修改组策略设置的一条途径就是阻止通常从父容器继承设置。启用阻止继承（Block Inheritance）将不允许子容器从所有父容器处继承所有的GPO设置。阻止策略继承选项仅在站点、域和 OU 上设置，而不在各个 GPO 上设置。这些设置提供对默认继承规则的完全控制。而禁止替代选项则是在GPO上进行设置。如果 GPO 启用“禁止替代”，则它不允许子容器阻止这些 GPO。
在本节中，我们将在“Accounts”OU 中建立一个 GPO，默认情况下，它应用于“Accounts”OU 内所有子对象中的用户和计算机。然后，启用“阻止继承”功能禁止将父站点、域或 OU（此处为“Accounts”OU）中设置的组策略应用于“Production”OU。为了验证“禁止替代”功能，我们再将其设置为“禁止替代”。这些设置将应用于所有子对象，即使设置与通过 GPO 应用的其他设置冲突也无妨。
² 创建新的GPO[/b]
在此，我们将创建两个GPO，请按照以下步骤操作：
1、确保实验所需的OU已创建成功。即父OU Accounts、子OU Production以及子OU中的用户Acctuser1和Acctuser2已经创建完成。
2、在【Active Directory 用户和计算机】管理控制台中，右击Accounts OU，然后单击【属性】菜单。在出现的属性对话框对话框中，选择【组策略】标签。
3、单击【新建】按钮，输入“Restricted Standard Desktop”作为 GPO 名称，然后选中新建的GPO，单击【编辑】按钮。
4、在【组策略编辑器】中，展开【用户配置】 => 【管理模板】 => 【桌面】。然后在右边的详细窗格中双击【删除桌面上的“我的文档”图标】，在出现的属性对话框中，选择【已启用】选项。如图所示。



[align=center] [/align]
5、按相同的方法，创建另一个GPO，取名为“Enforced User Policies”，其删除了当在使用“Ctrl+Alt+Del”时的任务管理器选项”。如图所示。



6、关闭所有窗口。并对组策略进行手动刷新。
7、以用户Acctuser1和Acctuser2分别在域中任一台工作站上登录到域中，均可以看到其工作桌面上无“我的文档”，当使用“Ctrl+Alt+Del”时的没有【任务管理器】选项。表明子OU继承了父OU的GPO设置。
² 启用阻止继承[/b]
您可以禁止继承，以使一个 GPO 不能从分层结构中的另一个 GPO 继承策略。要阻止“Production”OU 继承组策略，请按照以下步骤操作：
1、在“Accounts”OU 下面，右键单击“Production”OU，在上下文菜单中选择【属性】。在属性对话框中单击【组策略】选项卡。
2、在【Production 属性】对话框中，选择【阻止策略继承】复选框，然后单击【确定】按钮，完成阻止继承的设置。如图所示。



[align=center] [/align]
3、以用户Acctuser1和Acctuser2分别在域中任一台工作站上登录到域中，均可以看到其工作桌面出现了“我的文档”及当使用“Ctrl+Alt+Del”时的有【任务管理器】选项。。表明子OU阻止了父OU的所有GPO设置。
² 启用禁止替代[/b]
1、在【Active Directory 用户和计算机】管理控制台中，右击Accounts OU，然后单击【属性】菜单。在出现的属性对话框对话框中，选择【组策略】标签。
2、在【组策略对象链接】列表中，右击“Enforced User Policies”，在出现的上下文件菜单中，单击【禁止替代】。然后单击【应用】按钮，并关闭所有窗口。如图所示。



3、以用户Acctuser1和Acctuser2分别在域中任一台工作站上登录到域中，可以看到其工作桌面出现了“我的文档”及当使用“Ctrl+Alt+Del”时的无【任务管理器】选项。。表明子OU仅阻止了父OU的“Restricted Standard Desktop” 的设置。而“Enforced User Policies”的由于启用了禁止替代得以强制继承。

6.4.2 安全组筛选

您可以通过指定所选 GPO 应用于安全组的方式，优化任何 GPO 对用户或计算机产生的影响。为此，请使用 GPO【属性】页上的【安全】选项卡来设置 DACL。主要出于性能方面的原因使用 DACL，但此功能在设计和部署 GPO 及其包含的策略方面具有非常大的灵活性。
安全组筛选具有两个功能：第一个功能是修改受特定 GPO 影响的组；第二个功能是委派可修改 GPO 内容的管理员组，限制“完全控制”权限，仅将其授予一组有限的管理员（按组）。第二个功能是推荐功能，因为它可以减少多个管理员同时进行更改的可能性。
默认情况下，GPO 影响链接的站点、域或 OU 中包含的所有用户和计算机。通过使用 DACL，可以修改任何 GPO 的影响以排除或包含任何安全组的成员。
² 筛选组策略的方式[/b]
为了筛选组策略，可以使用以下两种方式之一：
方式1[/b]
执行下面步骤；
1、创建一个安全组并将OU的管理员添加到这个组。
2、在安全性设置的【属性】对话框中，在【安全】表里添加不想用于OU管理员的GPO。
3、拒绝应用于这个安全组的应用组策略权限。
方式2[/b]
它是删除验证的用户。通过忽略安全组的OU管理员，他们没有GPO的明确权限。执行以下的步骤:
1、从DACL中删除验证的用户组。
2、创建一安全组并将除OU管理员外的所有计算机和用户的说明加入该组。
3、在【安全】表里为不想应用于OU管理员的GPO添加安全组。
4、允许安全组具有读和应用组策略权限。
² 实施组策略筛选[/b]
要基于安全组成员身份来筛选 GPO 应用，请按照以下步骤操作：
1、确保实验所需的安全组“Management”已创建成功。并将Acctuser2加入到组中。
2、在【Active Directory 用户和计算机】管理控制台中，右击Accounts OU，然后单击【属性】菜单。在出现的属性对话框对话框中，选择【组策略】标签。
3、在【组策略对象链接】列表中，选择“Enforced User Policies”。单击【属性】按钮。
4、在【安全】表添加里安全组Management。然后为“Management”组清除【应用组策略】ACE 的【允许】复选框，并选择【拒绝】复选框。如图6-8所示。



5、点击【确定】按钮。关闭所有窗口。
6、以用户Acctuser1在域中任一台工作站上登录到域中，可以看到其工作桌面出现了“我的文档”及当使用“Ctrl+Alt+Del”时的无【任务管理器】选项。表明子OU仅阻止了父OU的“Restricted Standard Desktop” 的设置。而“Enforced User Policies”的由于启用了禁止替代得以强制继承。
7、以用户Acctuser2在域中任一台工作站上登录到域中，可以看到其工作桌面出现了“我的文档”及当使用“Ctrl+Alt+Del”时的有【任务管理器】选项。表明子OU仅阻止了父OU的“Restricted Standard Desktop” 的设置。而“Enforced User Policies”的由于用户启用了组策略筛选仍得以被阻止。

6．5 委派组策略的管理控制

活动目录允许管理员委派组策略对象（GPO）的控制。组策略委派包含下列三个方面的特定需求，可结合或单独使用：
² 管理站点、域或组织单元连接的组策略设置[/b]
为了允许用户为站点、域或组织单元管理组策略链接，可以通过以下方式：

赋予用户站点、域或组织单元的gPLink和gPOPtions属性的读写权限。

使用委派控制向导。

² 创建GPO[/b]
为了允许用户或组创建GPO，可以将用户或互助加入到“组策略创建拥有者组”。
² 编辑GPO[/b]
为了允许用户编辑GPO，可以通过以下方式：

赋予用户该GPO的读写权限。

将用户标域管理员、企业管理员或GPO创建拥有者组。

通过使用GPO属性对话框中的安全选项卡来准许用户访问GPO。

6．6 监控组策略

有多种监控组策略的方式。如以通过启用诊断记录和详细记录来监控制组策略。
² 启用事件日志的诊断记录[/b]
启用组策略的诊断记录促成组策略在事件日志中产生具体的事件。这些具体的事件能够通过返回事件以及提供额外的信息，在诊断组策略相关的问题时提供帮助。
可采用如下方法启用诊断记录：
1、以本地管理员的身份登录，单击【开始】=> 【运行】，输入Regedit以打开注册表编辑器。
2、展开HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current\Version关键词。选择【编辑】 => 【新建】 => 【项】。输入Diagnostics，然后按回车。
3、选中Diagnostics项，选择【编辑】 => 【新建】，单击“DWDRD Value”，输入RunDiagnosticsLoggingGlobal，按回车。
4、双击RunDiagnosticsLoggingGlobal，输入1，单击【确定】按钮。
² 启用详细记录[/b]
详细记录将记录所有变更和应用到本地计算机和登录到计算机上用户设置。日志文件位于“%systemroot%\Debug\UserMode”文件夹下，命名为Userenv.log，为了允许详细记录，需要添加名为UserEnvDebugLevel值为30002双字节记录值到注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon关键词下。
注意：30002允许详细记录；30001仅允许错识和警告的记录；30000不记录任何事件。