《2020年(战略管理)第18章WindowsServer2003组策略应用》由会员分享,可在线阅读,更多相关《2020年(战略管理)第18章WindowsServer2003组策略应用(63页珍藏版)》请在金锄头文库上搜索。
1、第18章 Windows Server 2003中组策略应用作为一个网络管理员,我们希望有一种方便的、灵活的方法可以控制整个公司的员工的用户桌面环境,可以给用户安装他们所需要的软件而不用您亲自一台一台地去安装。在Windows Server 2003中提供了这种方便灵活地实现方法组策略。尤其是在域模式的情况下,应用组策略可以提供更加方便灵活的功能。18.1创建和配置组策略18.1.1 组策略简介组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件,例如,用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。要为特定用户组创建特殊的桌面配置,请使用组策略对象编辑器。您指定的组策略设置包
2、含在组策略对象中,而组策略对象又与选定的 Active Directory 对象(即站点、域或组织单位)相关联。组策略不仅应用于用户和客户端计算机,还应用于成员服务器、域控制器以及管理范围内的任何其他 Microsoft Windows 2003 计算机。默认情况下,应用于域的组策略会影响域中的所有计算机和用户。“Active Directory 用户和计算机”还提供内置的“Domain Controllers”组织单位。如果将域控制器帐户保存在那里,则可以使用组策略对象“Default Domain Controllers Policy”将域控制器与其他计算机分开管理。组策略包括影响用户的“
3、用户配置”策略设置和影响计算机的“计算机配置”策略设置。使用组策略可执行以下任务:l 通过“管理模板”管理基于注册表的策略。组策略创建了一个包含注册表设置的文件,这些注册表设置写入注册表数据库的“User”或“Local Machine”部分。登录到给定工作站或服务器的用户的特定用户配置文件写在注册表的 HKEY_CURRENT_USER (HKCU) 下,而计算机特定设置写在 HKEY_LOCAL_MACHINE (HKLM) 下。 l 指派脚本。包括计算机的启动、关闭、登录和注销等脚本。 l 重定向文件夹。可以将文件夹(如 我的文档s 和 My Pictures)从本地计算机上的 Docu
4、ments and Settings 文件夹中重定向到网络位置上。l 管理应用程序。使用组策略,可以通过“组策略软件安装”来指派、发布、更新或修复应用程序。l 指定安全选项。组策略对象策略设置存储在组策略对象中。可以将组策略对象编辑器看作一个应用程序,它的文档类型是组策略对象,就象文字处理程序使用 .doc 或 .txt 文件那样。有两种组策略对象:本地和非本地。本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象,而且它拥有在非本地组策略对象中可用的设置的一个子集。如果二者的设置发生冲突,则非本地组策略对象的设置会覆盖本地组策略对象的设置;如果不冲突,则都可以应用。存储
5、在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们会应用到与组策略对象相关联的站点、域或组织单位中的用户和计算机。默认情况下,安装Active Directory时,会创建两个非本地组策略对象: “Default Domain Policy”与域链接,它通过策略继承影响域中的所有用户和计算机(包括作为域控制器的计算机)。“Default Domain Controllers Policy”与“Domain Controllers”组织单位链接,它通常只影响域控制器,因为域控制器的计算机帐户单独保存在“Domain Controllers”组织单位中。 组策略权
6、限默认情况下,只有域管理员、企业管理员、组策略生成器所有者和操作系统才可以创建新的组策略对象。如果域管理员希望非管理员或组能够创建组策略对象,则可以将该用户或组添加到 Group Policy Creator Owners 安全组中。当不是管理员、但身为 Group Policy Creator Owners 组成员的用户创建组策略对象时,该用户即成为该组策略对象的创建者和所有者;因此,该用户可以编辑该组策略对象。成为 Group Policy Creator Owners 组的成员后,用户只能完全控制自己所创建的组策略对象(该组策略对象已明确委派给该用户)。非管理员用户对于域中任何其他组策略
7、对象都没有额外的权利 这些用户对于别人创建的组策略对象并没有权利。如表18-1描述了组策略对象上的默认权限。表181 组策略对象上的默认权限安全组默认设置 Authenticated Users读取、应用组策略 (AGP) Local System完全控制(包含 AGP) Domain administrators读取、写入、创建子组策略对象、删除子组策略对象、AGP Administrators读取、写入、创建子组策略对象、AGP Group Policy Creator Owners读取、写入、AGP默认情况下,任何管理员都无法删除组策略对象“Default Domain Policy”。
8、这种限制的目的在于防止意外删除该组策略对象,它包含该域的重要和必要设置。如果因为某种原因必须删除“Default Domain Policy”,则必须明确地向相应的组授予“删除”权限。这是组策略对象上的高级访问控制项 (ACE)。下面简要介绍几个标准权限:默认情况下,GPO给予域管理员组,企业管理员组、组策略创建拥有者组和系统组中的成员,除“采用组策略”以外的权限。这意味着这四个组能编辑GPO,但包含在GPO中的策略不能应用在他们身上。l 应用组策略:在标准组策略对象权限中还有一条就是应用组策略,如果哪个用户被赋予了这个权限和读取权限,那么这条组策略将对该帐号起作用。l 如果已经将域和企业管理
9、小组设为对某组策略无应用权限,那么即使其中的小组成员被授予应用权限,由于拒绝权限总是优先于允许权限,所以,小组成员依然选用被拒绝应用组策略权限。l 删除组策略权限:这个权限较易理解,那就是谁删除本条组策略的权限,谁就能删除一条组策略。l 安全子页中的高级选项中的特殊权限,审核及所有者概念上均与以前讲的组织单位的安全页一致,只是要搞清楚这里的“安全”页设置针对的是GPO就不会出问题。策略继承一般情况下,域中的组策略会从父容器传递到子容器。但是组策略不会从父域继承到子域,例如,从创建地组策略不会继承到 。如果为一个高级别的父容器指派特定的组策略设置,则该组策略将应用到该父容器下的所有容器,包括每个
10、容器中的用户和计算机对象。但是,如果您为某个子容器明确指定了组策略设置,则该子容器的组策略设置将覆盖父容器的设置。如果父组织单位具有未配置的策略设置,则子组织单位将不会继承这些设置。禁用的策略设置被继承之后还是禁用的。此外,如果父组织单位已经配置了一个策略设置(启用或禁用),而子组织单位并未配置同一策略设置,则子组织单位会继承父组织单位的启用或禁用的策略设置。如果应用到父组织单位的策略设置与应用到子组织单位的策略设置兼容,则子组织单位会继承父组织单位的策略设置,而且还会应用子组织单位的策略设置。如果为父组织单位配置的策略设置与为子组织单位配置的同一策略设置不兼容(因为在某种情况下设置是启用的,
11、而在另一种情况下设置是禁用的),子组织单位就不继承父组织单位的策略设置。这时会应用子组织单位中的设置。阻止继承可以在域或组织单位级别阻止策略继承,方法是打开域或组织单位的属性对话框,并选中“阻止策略继承”复选框。阻止继承的两个局限:1 “阻止策略继承”无法选择阻止哪个上级组织单位的GPO,要阻止,就都阻止。2 如果上级组织单位的一条GPO设为“禁止替代”,子组织单位此时再选阻止继承就不能阻止这条上级组织单位的GPO继承到子组织单位。如果这条“禁止替代”的上级GPO被链接到子组织单位中,那么也阻止不了它起作用。强迫继承可以强迫策略继承,方法是在组策略对象链接上设置“禁止替代”选项。选中“禁止替代
12、”复选框后,就会强迫所有子策略容器继承父策略,即使这些策略与子策略相冲突,或者即使已为子容器设置了“阻止继承”选项。可以在组策略对象链接上设置“禁止替代”选项,方法是打开站点、域或组织单位的属性对话框,并选中“禁止替代”复选框。注意:设置为“禁止替代”的策略并不能被阻止。 18.1.2创建一个组策略对于组策略来说,我们一般通过将组策略对象链接到Active Directory对象(站点、域或组织单位),可以应用基于Active Directory的组策略。“用户配置”下的组策略设置应用到用户,“计算机配置”下的组策略设置应用到计算机。下面我们就以组织单位为例来讲解如何创建一个组策略。步骤:1.
13、 登录域控制器,打开“Active Directory 用户和计算机”,在“Active Directory 用户和计算机”中,选择想要设置组策略的组织单位,单击鼠标右键,选择“属性”。2. 在弹出的页面中单击“组策略”选项卡(如图18-1)图18-1 组织单位的属性页中的组策略项3. 此时组策略链接栏中是空的,因为尚未创建组策略。此时,只有新建和添加两按钮是黑的,其它接钮均为灰色。下面分别就这几个按钮介绍组策略的结构。“新建”按钮按“新建”按钮可以创建新的组策略对象,也称GPO(Group policy object)。在一个活动目录容器下可以创建多条组策略,按最右边的“向上和向下”键,可以
14、调整组策略的顺序,而组策略在执行时,它会按从下到上的顺序一条一条执行。4. 点“新建”按钮,出现(如图18-2)所示。图18-2 新建组策略对象此时你可以输入这个组策略对象的描述,如“技术部员工”对你所创建策略的一个概况性的描述。如果不输入任何文字,用鼠标直接点“新建组策略对象”,其余几个按钮如编辑、选项、删除、属性均亮起来,只有“向上、向下”还是灰色的。(如图18-3)图18-3 选中组策略后的画面 “添加”按钮GPO即组策略对象和站点,域以及组织单无可以连接在一起,建立这种连接之后,GPO的设置将应用在站点,域或组织单元内的用户和计算机上。那么怎样连接呢?这就要用到“添加”键。下面介绍组策
15、略的连接。步骤:1单击“添加”按钮。将弹出如图18-4所示的“添加组策略对象链接”界面。图18-4添加组策略对象链接出现的页面中又有三个子页,这三个子页分别提供了三个范围,一个是域/组织单位,第二个是站点,第三个是全部。我们在“查找范围”中选择整个域,如图185。现以“缺省的域策略”为例,我们在“域/组织单位”项上选中“default domain policy”,并点“确定”。出现(如图18-6)所示的情况,在“组策略对象链接”栏中出现了“default domain policy”图185 添加组策略对象链接图18-6添加“default domain policy”到组织单位其实,添加组策略链接使创建组策略的工作方便了,否则就要一个一个策略的创建并设置,其工作量太大了。注意:管理员可以将GPO和多个站点,域以及组织单元链接,这为不同站点、域以及组织单元的计算机和用户配置相同的组策略提供了可能。也可以将多个GPO和单个站点、域以及组织单元链接。管理员不能将GPO和默认的活动目录容器-计算机、用户和Builtin(内置组)相连,因为它们不是组织单位。“编辑”按钮1. 选中一条组策略对象,然后选“编辑”按钮。(如图18-7)图18-7 打开一条组策略对象2. 可以看到一条组策略由两部分组成:一部分是针对计算机的