對臺式機配置更詳盡的控制

組策略是Windows 2000中新增加的我最喜歡的功能，它給了我Windows NT從來沒有提供過的功能━━對用戶計算機集中而詳盡的控制，我們可以把組策略看作是NT 4.0中系統策略的改進。組策略對象（GPO）是基于活動目錄（AD）的對象，用戶可以通過它集中地對Win2K臺式機和服務器系統進行配置，它的功能包括從NT 4.0臺式機的鎖定到安全性配置和軟件安裝等。

篇文章主要講述組策略是如何對系統起作用的、系統內部的工作原理以及在Win2K環境中采用這一技術時應該注意的問題，如果了解NT 4.0中系統策略的原理對我們理解組策略有一定的幫助。

組策略是什么？

GPO是一種與域、地址或組織單元相聯系的物理策略。在NT 4.0系統中，一個單一的系統策略文件（例如ntconfig.pol）包括所有的可以執行的策略功能，但它依賴于用戶計算機中的系統注冊表的設置。在Win2K中，GPO包括文件和AD對象。通過組策略，可以指定基于注冊表的設置、使用NT 4.0格式.adm模板文件的運行Win2K的本地計算機、域的安全設置和使用Windows安裝程序的網絡軟件安裝，這樣在安裝軟件時就可以對文件夾進行重定向。

微軟管理控制臺（MMC）中的組策略編輯器（GPE）插件與NT 4.0中的系統策略編輯器poledit.exe相當。在GPE中的每個功能節點（例如軟件設置、Windows 設置、管理模塊等）都是MMC插件擴展，在MMC插件中擴展是可選的管理工具，如果你是應用程序開發者，可以通過定制的擴展拓展GPO的功能，從而針對你的應用程序提供附加的策略控制。

只有運行Win2K的系統可以執行組策略，運行NT 4.0和Windows 9x的客戶機則無法識別到或運行具有AD架構的GPO。

組策略和AD

要充分發揮GPO的功能，需要有AD域架構的支持，利用AD可以定義一個集中的策略，所有的Win2K服務器和工作站都可以采用它。然而，每臺運行Win2K的計算機都有一個本地GPO（駐留在本地計算機文件系統上的GPO），通過本地GPO，可以為每臺工作站指定一個策略，它在AD域中不起作用。例如，出于安全原因，你不會在AD域中配置公用的計算機。利用本地GPO，可以通過修改本地策略來得到安全性和對臺式機的限制使用而無需利用基于AD域的GPO。訪問本地GPO的方法有2種，第1種方法，在需要修改GPO的計算機的“開始”菜單上選擇“運行”，然后鍵入：

gpedit.msc

這個操作的作用與NT 4.0中的poledit.exe相同，可以打開本地策略文件。第2種方法，可以通過在MMC控制臺中選擇GPE插件，并選擇本地或遠程計算機來人工地編輯本地GPO。

本地GPO支持除軟件安裝和文件夾重定向之外的所有缺省擴展，因此，只利用本地GPO你不能完成這些工作，如果想充分發揮GPO的功能，還是需要AD的支持。

GPO的多樣性和繼承

在AD中，可以在域、組織單位（OU）或地址三個不同的層次上定義GPO。OU是AD中的一個容器，可以指派它對用戶、組、計算機等對象進行管理，地址是網絡上子網的集合，地址形成了AD的復制分界線。GPO的名字空間被劃分為計算機配置和用戶配置兩個大類，只有用戶和計算機可以使用GPO，象打印機對象甚至用戶組都不能應用GPO。

在一個域或組織單位（OU）中編輯策略的途徑有幾種。在活動目錄用戶或計算機MMC插件中，右擊一個域或組織單位（OU），在菜單中選擇“屬性”，然后選擇“組策略”標簽。在編輯地址中的策略時，需要右擊“活動目錄地址和服務”插件，然后右擊需要的地址得到其GPO。此外，還可以從“開始”菜單，選擇“運行”，然后鍵入：

mmc.exe

啟動MMC，選擇“控制臺”，“增加/刪除”插件，然后選擇“組策略”插件、“瀏覽”，在AD域內的GPO就會顯示出來，可以選擇一個GPO進行編輯。

根據GPO在AD名字空間中的不同位置，可以有幾個GPO對用戶對象或計算機對象起作用。只有域中的其他對象是通過繼承生成時GPO才是通過繼承生成的。Win2K通過下面的方式執行GPO，首先，操作系統執行現有的本地系統上的策略，然后，Win2K執行定義的地址級的GPO、域一級的GPO和基于OU的GPO，微軟把這一優先順序取其首個字母縮寫為LSDOU（執行的順序依次是本地、地址、域、OU層次的GPO），用戶可以在這個鏈上的許多層次上定義GPO。我們以pilot域為例說明如何察看一個系統中的GPO，啟動“活動目錄用戶和計算機MMC”工具，右擊pilot域名，從菜單中選擇“屬性”項，然后選擇組策略標簽。在這個列表頂端的GPO（例如域范圍的安全策略）有最高的優先權，因此，Win2K最后才會執行它。除了本地系統外，可以在每個層次上定義幾個GPO，因此如果不能嚴格地管理GPO，就會出現不必要的問題。

GPO的繼承模型與Novell公司的Zenworks策略方式截然不同。在Zenworks中，如果在Novell目錄服務（NDS）樹上的不同點使用多個策略包，只有距離用戶對象最近的策略包才起作用。在Win2K中，如果在AD的不同層次上定義四個GPO，操作系統使用“LSDOU”優先順序來執行這些策略，對計算機或用戶的作用是這四個策略執行的“和”。此外，有時在一個GPO中的設置會被其他GPO中的設置抵銷。通過AD級GPO，用戶可以擁有更多的策略控制委托，例如，公司的安全部門負責在域一級上設計用于所有系統設備的安全GPO。通過使用GPO,可以讓某個OU的系統管理員擁有在OU上安裝軟件的權利。在Zenworks模型中，必須在希望使用策略的所有層次上復制這些策略，而且策略對用戶或計算機對象的作用并非是所有策略的“和”。

為了進一步地控制GPO，微軟提供了三種設置來限制GPO繼承的復雜性。在地址、域、OU三個層次上用戶都可以通過選擇一個檢查框阻止從更高一個層次上進行繼承，同樣，在每一個層次上，用戶可以選擇缺省的域策略選項，方法是打開“活動目錄用戶和計算機”插件，右擊GPO所在的域或OU，從菜單中選擇“屬性”，然后選擇“組策略”標簽。讓你希望修改的項目變亮，然后選擇“選項”按鈕，可供選擇的選項有“不覆蓋”或“禁止”。如果選擇了“不覆蓋”選項，即使選擇了不能繼承的檢查框，該GPO還是會起作用。如果想在任何一個地方執行一個GPO時，這一功能就很有用處。如果一個OU的管理員試圖阻止對安全策略的繼承，包含安全策略的GPO仍然會被系統執行。“禁止”檢查框可以完全禁止一個GPO執行，這一功能在你對一個GPO進行編輯而不想讓其他的用戶執行它時特別有效。

GPO的執行和過濾

只有用戶和計算機對象才能執行組策略。在計算機的啟動和關閉時，Win2K執行在GPO的計算機配置部分定義的策略，在用戶登錄和注銷時，Win2K執行在GPO中用戶配置部分定義的策略。事實上，在用戶登錄時可以通過手動方式執行一些的策略，例如可以在命令行方式下運行secedit.exe程序執行安全策略應用程序。此外，通過管理員模塊策略可以定期地對用戶和計算機的GPO設置進行刷新，缺省情況下，這種刷新每90分鐘進行一次，這種刷新可以使其他用戶不容易修改通過組策略定義的策略。但是，軟件安裝策略是不會刷新的，因為沒有人希望周期性地改變策略引起軟件的“缷載”，尤其是有其他用戶在使用時，就更是這樣了。計算機、用戶對象只有在計算機啟動或用戶登錄時才會軟件安裝策略。

盡管只有AD中的計算機和用戶對象才能執行GPO，但我們可以過濾GPO的效果。使用Win2K中的安全組、應用組策略━━這是Win2K中的一項新的安全特性，可以使特定的用戶組不能執行某一個GPO。右擊MMC中GPO的名字，選擇“屬性”，然后再選擇“安全”，就可以看到GPO目前的安全設置。認證用戶組具有應用組策略權利，從而附屬這一GPO的所有用戶可以執行它。在Win2K中，安全組可以包括用戶和計算機對象。因此，利用安全組可以仔細地調整用戶、計算機對象如何執行一個GPO。你還可以對個別的應用程序應用安全組，可以指派一個GPO的軟件安裝部分。例如，假設你在一個GPO中發布10個應用程序，可以指定只讓金融用戶用戶組訪問其中的5個，其他用戶登錄到這個域時，它們也不會發現這5個應用程序。

GPO的內部構成

一個GPO是由兩部分組成的：組策略容器（GPC）和組策略模板（GPT）。GPC是GPO在AD中的一個實例，在一個特殊的被稱作系統的容器內有一個128位的全球唯一的ID碼（GUID）。在“活動用戶目錄用戶和計算機”插件中選擇“瀏覽”，從MMC菜單中選擇“高級屬性”，就可以看到“系統”容器。GPT是組策略在Win2K文件系統中的表現，與一個GPO有關的所有文件依賴于GPT。

GPO帶來的難題

雖然GPO的功能很強大，但要掌握它可不容易。最難掌握的是如何判斷一條有效的策略如何對域中的計算機或用戶起作用，由于GPO可以存在于AD鏈中不同的層次上，這種判斷就特別困難。同時，由于可以指派一個GPO的控制，因此不大容易清楚其他的GPO是否會對你沒有控制權的容器中的GPO有影響。因此，計算一個計算機或用戶對象接收的“策略的結果集”（RSoP）是相當困難的。盡管微軟還沒有提供計算RSoP的工具，但已經有第三方廠商提供了相應的計算RSoP的工具。

另一個難題是策略的執行。如果在AD鏈上的許多層次上都存在有GPO，在用戶每次登錄或系統啟動時都會執行所有的GPO。在Win2K系統中，微軟推出了一些新的功能來優化系統的性能。首先，GPO的版本信息依賴于工作站和GPO，如果GPO沒有變化，系統就不會執行它。另外，在GPE的屬性頁上，可以禁止用戶或計算機對GPO的執行。如果建立一個GPO用來分發關閉系統或啟動系統時的腳本，禁用GPO的用戶配置部分，這樣會使工作站不能解析GPO并判斷它是否已經發生了什么變化。

最后的一個難題起源于GPC和GPT是兩個單獨的實體。GPC是AD中的一個對象，它與GPT中包含的文件的復制不同步，這意味著創建一個GPO時，在GPT開始向域控制器上的Sysvol復制文件之前GPC可能已經開始進行復制了。

所有問題的起源都是由于AD使用了一種多主體的復制模式。理論上，當另一個系統管理員在一個域控制器上編輯一個GPO時，你也可以在某個域上對它進行編輯。因此，當建立一個GPE時，缺省狀態下指的是在“操作主體”中充當PDC的域控制器。（“操作主體”是AD基礎結構中的一系列托管功能，用作PDC的服務器可以兼容運行NT和Win9x的工作站。）一般情況下，可以通過只向少數的系統管理員授予編輯GPO的權利來避免這種情況的發生，并保證如果有人在編輯GPO時，讓其他的人都知道。此外，需要注意的是，在對一個GPO進行編輯時，要“禁止”它，修改結束后重新使能。

GPO的優缺點

GPO的優點是可以讓用戶靈活地控制Win2K環境，但伴隨著靈活性而來的是復雜性。如果能夠正確、靈活地運用GPO，就能使Win2K發揮出更加強大的功能。