計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)外文翻譯--組策略的概述

1、<p><b>　　2011年 3 月</b></p><p>　　作者：Darren Mar-Elia, Derek Melber, William R. StanekThe出版社：Microsoft Press出版時(shí)間：2005-05-25章節(jié)：第一張，3至12頁</p><p><b>　　組策略的概述</b></p&

2、gt;<p>　　在本章，我們將介紹組策略。 你將學(xué)到組策略是做什么的 ，它是怎樣被用于域和工作組的設(shè)置中，以及實(shí)施組策略需要什么基礎(chǔ)設(shè)施。如果你要搭建一個(gè)活動目錄服務(wù)的網(wǎng)絡(luò)環(huán)境，你就需要組策略。 就是這么回事。毫無疑問，沒有一點(diǎn)問題。你面對的真正的問題是給你組織的架構(gòu)和需求如何最大限度的運(yùn)用組策略提供的。 為什么？因?yàn)榻M策略意味著你作為管理員的生活變的更容易。微軟定義組策略這個(gè)術(shù)語是為了描述能夠允許你一起設(shè)置組策略同時(shí)把

3、它們運(yùn)用到離散集合（不相干記錄）的技術(shù)。實(shí)際上，組策略是一組為了簡化管理共同的、重復(fù)的以及獨(dú)特的任務(wù)而又難以手工實(shí)施但是可以被自動化執(zhí)行的策略設(shè)置（例如部署新的軟件或者強(qiáng)制執(zhí)行能夠安裝在電腦上的程序）。</p><p><b>　　相關(guān)信息</b></p><p>　　■關(guān)于域名服務(wù)器體系結(jié)構(gòu)的信息，參考Microsoft Windows Server 2003 In

4、side Out（微軟服務(wù)器2003視窗）的第26章(微軟出版，2004)。</p><p>　　■關(guān)于活動目錄系結(jié)構(gòu)的信息，參考Microsoft Windows Server 2003 Inside Out的第32章。</p><p>　　■ 關(guān)于組策略實(shí)施的信息，參考本書的第四章。</p><p><b>　　了解組策略</b></

5、p><p>　　組策略提供了一種方便高效的方法來管理計(jì)算機(jī)和用戶設(shè)置。</p><p><b>　　組策略做什么</b></p><p>　　通過組策略，你能用完成（manage）設(shè)置一個(gè)用戶或者一臺計(jì)算機(jī)的方法完成設(shè)置成千的用戶或者計(jì)算機(jī)——無需離開你的辦公桌（座位）。對于這些，你可以使用一個(gè)或多個(gè)管理工具改變設(shè)置成期望值，同時(shí)通過網(wǎng)絡(luò)把這些改變

6、應(yīng)用到一段期望的用戶和計(jì)算機(jī)或者任意一個(gè)用戶和計(jì)算機(jī)。</p><p>　　一種理解思路是組策略好比一組規(guī)則能夠幫助你管理用戶和計(jì)算機(jī)。盡管缺乏一致的理解，用這種思路理解組策略可能比以前的更直觀。仍然不可思議？ 想想在組策略（出現(xiàn)）之前，許多組策略的管理改變只能通過修改Windows注冊表，每一個(gè)改變不得不單獨(dú)的在每一臺目標(biāo)主機(jī)上進(jìn)行。隨時(shí)間變化，實(shí)施的棘手，可能會導(dǎo)致災(zāi)難性后果？當(dāng)然了。</p>

7、<p>　　進(jìn)入組策略，憑借它你可以簡單的使用或者取消一個(gè)策略調(diào)整注冊表鍵值或者其它設(shè)置，這些改變在組策略下次刷新時(shí)能夠被自動的應(yīng)用到你指定的每臺計(jì)算機(jī)上。由于改變能夠被效仿（通過組策略控制臺）在修改被應(yīng)用之前，（因此）你可以確定每一個(gè)期望改變的效果。另外，如果你不滿意（改變的）結(jié)果，你可以通過設(shè)置策略取消改變使其回到初始或者未配置狀態(tài)。</p><p>　　進(jìn)一步采取這種情形，當(dāng)你用手工修改一臺機(jī)器的

8、多個(gè)微軟窗口的注冊表設(shè)置項(xiàng)這種情況時(shí)你將面對問題?？赡苡脩舨荒艿卿?，（計(jì)算機(jī)）它們不能執(zhí)行必須的動作，或者計(jì)算機(jī)不能正常的響應(yīng)。如果您記錄了每臺計(jì)算機(jī)上的每個(gè)變動，你可能取消那些改變——如果你夠幸運(yùn)同時(shí)你還正確的記錄初始的設(shè)置以及改變。相比之下，組策略允許你返回（“備份”）到改變執(zhí)行之前的組策略狀態(tài)。如果一些東西運(yùn)行出錯，你可以恢復(fù)組策略到它的初始狀態(tài)。當(dāng)你恢復(fù)組策略狀態(tài)，你可以確定在下次組策略刷新時(shí)所有的改變沒有執(zhí)行。</p&g

9、t;<p><b>　　組策略怎么工作</b></p><p>　　講到組策略刷新，你可能對這個(gè)術(shù)語意思的感到疑惑。詳細(xì)的細(xì)節(jié)見第二章，這里只介紹基本的組策略應(yīng)用（開始過程）和簡單的刷新（隨后過程）。在活動目錄中，兩個(gè)不同的的策略集合（組）被定義：</p><p>　　■ 計(jì)算機(jī)策略：它們保存在組策略中的計(jì)算機(jī)配置下并應(yīng)用于計(jì)算機(jī)。</p>

10、<p>　　■ 用戶策略：它們保存在組策略中的用戶配置下并被用戶使用。</p><p>　　程序初始化時(shí)相關(guān)的策略通過兩種不同的事件被觸發(fā)：</p><p>　　■當(dāng)計(jì)算機(jī)開機(jī)時(shí)計(jì)算機(jī)策略進(jìn)程被觸發(fā)。當(dāng)計(jì)算機(jī)開始工作網(wǎng)絡(luò)連接初始化，計(jì)算機(jī)策略設(shè)置被應(yīng)用同時(shí)一個(gè)歷史的注冊表基本設(shè)置以%AllUsersProfile%\Ntuser.pol被使用。</p><

11、p>　　■ 當(dāng)用戶登錄計(jì)算機(jī)時(shí)用戶策略進(jìn)程被觸發(fā)。當(dāng)一個(gè)用戶登錄到計(jì)算機(jī)上，用戶策略設(shè)置被應(yīng)用同時(shí)一個(gè)歷史的注冊表基本設(shè)置 %UserProfile%\Ntuser.pol 被使用。</p><p>　　一旦被使用，組策略設(shè)置會自動的刷新保持當(dāng)前的設(shè)置同時(shí)表現(xiàn)出執(zhí)行后相應(yīng)的改變。在默認(rèn)情況下，域控制器上的組策略每5分鐘刷新一次。對于工作站和其他類型的服務(wù)器，默認(rèn)情況下組策略每90-120分鐘刷新一次。除此之

12、外，在間隔時(shí)間內(nèi)組策略每16個(gè)小時(shí)刷新一次不管是否有策略設(shè)置的改變。</p><p>　　注意：公開的，在工作站和成員服務(wù)器上組策略的默認(rèn)刷新間隔時(shí)間是90分鐘，但是增加30分鐘的截止時(shí)間來避免域控制器中多個(gè)同時(shí)刷新（造成的）的請求泛濫。這種作用使得默認(rèn)刷新時(shí)機(jī)從90到120分鐘（不等）。</p><p>　　要點(diǎn)：其他一些因素也能影響組策略刷新， 包括慢關(guān)聯(lián)檢測如何被確定 (每個(gè)組策略的

13、慢關(guān)聯(lián)檢測策略在 Computer Configuration\Administrative Templates\System\Group Policy下)和ComputerConfiguration\Administrative Templates\System\Group Policy 下策略的策略進(jìn)程設(shè)置。你可以使用組策略控制臺(GPMC)查看最近一次組策略刷新。(參閱目錄第三章“Determining Policy Settin

14、gs and Last Refresh”目錄部分。)</p><p><b>　　使用和實(shí)施組策略</b></p><p>　　組策略對于活動目錄的成功實(shí)施是那么的重要以至于絕大多數(shù)管理員把它做為活動目錄的組成對待。這大部分是正確的——以這種思路理解也是可以的——但是使用組策略不是必須需要活動目錄。</p><p>　　在工作組和域中使用組策略

15、</p><p>　　你能夠使用組策略管理運(yùn)行微軟Windows 2000和Windows XP 專業(yè)版的工作站甚至運(yùn)行Windows 2000 and Windows Server? 2003的服務(wù)器。當(dāng)然你不能使用組策略管理運(yùn)行Windows NT®的工作站或者服務(wù)器，Windows 95, Windows 98, Windows Millennium Edition (Me),或者Windows

16、XP Home Edition ，（但是）你可以在企業(yè)（域）和本地（工作組）的環(huán)境中使用組策略。 </p><p>　　在企業(yè)環(huán)境中部署活動目錄，徹底的設(shè)置策略環(huán)境是很便利的。這些策略設(shè)置參考域中基本組策略，活動目錄中基本組策略，或者最簡單的組策略（的設(shè)置）。在活動目錄中，位置和組織單位是兩個(gè)重要的相關(guān)元素 (組織單元)。位置代表著你的網(wǎng)絡(luò)的物理結(jié)構(gòu)。它是一組TCP/IP 子網(wǎng)段被實(shí)施用來控制在物理網(wǎng)絡(luò)位置中目錄

17、響應(yīng)流量和隔離登錄認(rèn)證流量。OUs常常用于域中的一組對象。在域中一個(gè)OU是一個(gè)邏輯上的管理它可以代表一個(gè)組織或者它們的目的功能。</p><p><b>　　組策略對象的工作</b></p><p>　　組策略被應(yīng)用到不相關(guān)的地方，這涉及到組策略對象（GPOs）。GPOs控制設(shè)置能夠被計(jì)算機(jī)和用戶以多種方式應(yīng)用在特定的活動目錄域，地點(diǎn)，或者OU中。由于活動目錄中的基本

18、層次結(jié)構(gòu)，高等級的GPOs設(shè)置也能被低級的GPOs繼承。例如cpandl.com域的設(shè)置能被在那個(gè)域中的Engineering OU繼承，這個(gè)域的設(shè)置將會被應(yīng)用到Engineering OU 中的用戶和計(jì)算機(jī)。如果你不想策略設(shè)置被繼承，你可以禁用這些設(shè)置來確保只有那個(gè)為低一級組策略設(shè)置的組策略對象被應(yīng)用。</p><p>　　要點(diǎn)：由于域中組策略，你可能認(rèn)為使用組策略將會影響深林或域的作用強(qiáng)度，但是這不是問題。在

19、深林和域中許多特定的功能模式不需要使用組策略。森林作用強(qiáng)度可以是Windows 2000， Windows Server 2003 Interim，或者 Windows Server 2003（操作系統(tǒng)）。域作用水平強(qiáng)度可以是Windows 2000 Mixed，Windows 2000 Native，Windows Server 2003 Interim，或者 Windows Server 2003（操作系統(tǒng)）。 </p>

20、<p>　　在本地環(huán)境，一個(gè)被稱為本地組策略的組策略子集是便利的。就像名字所指，本地組策略允許你管理策略設(shè)置并作用到每一個(gè)人登錄到的本地機(jī)器。這就意味著本地組策略應(yīng)用到了工作組成員中任何登錄到計(jì)算機(jī)的用戶或者管理員和域成員中任何登錄到本地計(jì)算機(jī)的用戶或管理員。由于本地組策略是組策略的一個(gè)子集，（因此）有些在域中可以設(shè)置的事情在本地卻不能。一般來說，你可以通過組策略管理策略區(qū)域中你不能管理的本地與活動目錄有關(guān)的特征，例如安裝

21、軟件。猶如活動目錄基本組策略，然而，本地策略通過組策略對象被管理。這些組策略對象參與扮演本地組策略對象角色。</p><p>　　除去本地組策略和活動目錄基礎(chǔ)組策略的基本上的差異，兩者的策略類型被管理的方式一樣。實(shí)際上，你使用相同的工具來管理它們。關(guān)鍵的不同在你使用的GPO中。在本地計(jì)算機(jī)上，你使用專有的LGPO 。如果你已經(jīng)部署活動目錄，那么，你可以使用除LGPOs之外的域，單元，和OU GPOs 。</

22、p><p>　　注意：無論它們是客戶端工作站，成員服務(wù)器，或者域控制器，所有的Windows 2000， Windows XP Professional，和 Windows Server 2003 的計(jì)算機(jī)都有一個(gè)本地組策略項(xiàng)目。LGPO總是被處理的。但是，它具有最小的優(yōu)先級，這意味著它可以通過設(shè)置站點(diǎn)，域和OU被設(shè)置取代。雖然域控制器有本地組策略項(xiàng)目，（但是）對于域控制器的組策略被管理時(shí)最好通過一個(gè)被稱為默認(rèn)域控制

23、器策略的默認(rèn)GPO。對于域有一個(gè)被叫做默認(rèn)域策略的默認(rèn)GPO。就像你想象的那樣，這些默認(rèn)的GPOs有特殊的目的同時(shí)以很特別的方法被使用。稍后你將會學(xué)到更多的關(guān)于這些默認(rèn)的GPOs在本章標(biāo)題為 “Working with Linked GPOs and Default Policy”的部分。</p><p><b>　　組策略入門</b></p><p>　　到目前為止

24、我們討論了組策略做什么，怎么做，怎么工作，但是我們沒有討論它幫你更好地管理你的網(wǎng)絡(luò)的確切的方法。</p><p>　　了解組策略設(shè)置和選項(xiàng)</p><p>　　首先，組策略或許不是你想象的那樣。如果你從Windows NT 4.0 的工作環(huán)境轉(zhuǎn)移到Windows Server 2003的環(huán)境中，你應(yīng)該知道前面合法的組策略和Windows NT 系統(tǒng)的策略是不同的。Windows NT系統(tǒng)的

25、策略是十分受限制的，坦率的講即使和組策略作用的領(lǐng)域相同。如果你在Windows 2000或者稍后的Windows操作系統(tǒng)上工作，你可能已經(jīng)看到組策略能做什么，不能做什么，或者你聽到一些人錯誤的把他們的困境歸咎于組策略。</p><p>　　最直接的事實(shí)是你“告訴”它什么組策略就做什么。你通過配置策略設(shè)置管理組策略。你應(yīng)用的一個(gè)策略設(shè)置是一個(gè)單獨(dú)的設(shè)置，例如限制訪問運(yùn)行對話框。大部分策略設(shè)置項(xiàng)有三種基本的狀態(tài)：&l

26、t;/p><p>　　■ 啟用：策略設(shè)置項(xiàng)被打開，它的設(shè)置處于活動（狀態(tài)）。通常的你啟用一個(gè)策略設(shè)置應(yīng)確保它被執(zhí)行。一旦啟用，一些策略設(shè)置要求你配置額外的項(xiàng)為策略設(shè)置的應(yīng)用做出調(diào)整。</p><p>　　■ 禁用：策略設(shè)置項(xiàng)被關(guān)閉，它的設(shè)置不會被應(yīng)用。通常地，禁用一個(gè)策略設(shè)置應(yīng)確保它不被執(zhí)行。</p><p>　　■ 未配置：策略設(shè)置沒有被應(yīng)用。策略設(shè)置即不是活動也不是

27、無效，同時(shí)沒有變化因策略導(dǎo)致配置設(shè)置觸發(fā)。</p><p>　　對于他們自己，這些狀態(tài)相當(dāng)?shù)暮唵?。但是一些人認(rèn)為組策略是復(fù)雜的因?yàn)檫@些基本狀態(tài)（改變）會引起繼承和阻塞（這里我們概要地涉及將在第三章做詳細(xì)討論）。記住兩條關(guān)于繼承和阻塞的規(guī)則，你將會在通往組策略成功的路上事半功倍：</p><p>　　■ 如果繼承策略設(shè)置被絕對的執(zhí)行，你不能越控他們——繼承策略設(shè)置被應(yīng)用不管當(dāng)前GPO的策略狀

28、態(tài)指派。</p><p>　　■ 如果在當(dāng)前的GPO中繼承策略設(shè)置被阻塞同時(shí)不是必須執(zhí)行，繼承策略設(shè)置能越控他們——繼承策略設(shè)置不會應(yīng)用，只有當(dāng)前GPO中的策略設(shè)置被應(yīng)用。</p><p><b>　　使用組策略管理</b></p><p>　　現(xiàn)在你已經(jīng)確切的知道怎么應(yīng)用單獨(dú)的策略設(shè)置，讓我們一起看看在管理域中應(yīng)用組策略。無論是你談?wù)摰谋镜亟M

29、策略或者域基本組策略，管理域和他們很類似，但是在域基本組策略中你可以干更多事情。就像先前被提到過的，你不能使用本地組策略管理一些需要活動目錄的特性；這些使用本地組策略能做與否的約束是本身的限制因素。</p><p>　　通過組策略，你可以管理這些關(guān)鍵的管理區(qū)域：</p><p>　　■計(jì)算機(jī)和用戶腳本：為用戶配置登錄/注銷腳本和為計(jì)算機(jī)配置開機(jī)/關(guān)機(jī)腳本。</p><p

30、>　　■文件夾重定向：為用戶轉(zhuǎn)移關(guān)鍵性的數(shù)據(jù)文件夾到網(wǎng)絡(luò)共享以便他們可以被更好的管理和規(guī)律性的備份（只適用基于域的組策略）。</p><p>　　■ 一般的計(jì)算機(jī)安全性：為賬戶建立安全設(shè)置，事件日志，約束組，系統(tǒng)服務(wù)，注冊表，和文件系統(tǒng)。（對于本地組策略，你只能為賬戶策略提供管理一般性的計(jì)算機(jī)安全）</p><p>　　■ 本地安全策略：設(shè)置策略審計(jì)，用戶權(quán)限指派，和用戶權(quán)限。<

31、;/p><p>　　■IE維護(hù)：配置瀏覽器的界面，安全性，重要的URLs，默認(rèn)程序，代理，和其他更多。</p><p>　　■IP安全性：為客戶端，服務(wù)器，固定服務(wù)器設(shè)置IP安全策略</p><p>　　■ 公鑰安全性：設(shè)置自動注冊公鑰策略，加密文件系統(tǒng)（EFS），企業(yè)信托，等等。</p><p>　　■ 軟件設(shè)置：自動地安裝新軟件和軟件升級（只

32、適用基于域的組策略）。</p><p>　　■ 遠(yuǎn)程服務(wù)設(shè)置：在客戶端安裝中設(shè)置的選項(xiàng)可用。</p><p>　　■ 無線網(wǎng)絡(luò)(IEEE 802.11)：為接入點(diǎn)，客戶機(jī)，設(shè)置無線網(wǎng)絡(luò)工作策略和網(wǎng)絡(luò)優(yōu)先級（只適用基于域的組策略）。</p><p>　　■ 軟件限制：限制軟件的部署和使用本地組策略不支持基于用戶的軟件限制策略，只支持基于計(jì)算機(jī)的軟件限制策略。</

33、p><p>　　雖然一個(gè)特別的策略集合被稱作管理模板，但是你也可以管理關(guān)于各個(gè)方面的用戶圖像界面接口（GUI），從菜單到桌面，任務(wù)欄，還有更多。管理模塊策略設(shè)置作用實(shí)際的注冊表設(shè)置，因此無論你是工作在本地組策略或者基于域的組策略適用的策略幾乎是同一的。你可以使用管理模塊來管理：</p><p>　　■ 控制面板 控制控制面板的進(jìn)入和選擇。你可以配置設(shè)置添加或刪除程序，打印機(jī)，和地域與語言選擇

34、。</p><p>　　■ 桌面 配置Windows桌面，活動桌面的外觀與交互，和從桌面活動目錄搜索的選擇。</p><p>　　■ 網(wǎng)絡(luò) 配置網(wǎng)絡(luò)工作和網(wǎng)絡(luò)客戶端選項(xiàng)，包括文件卸載，DNS 客戶端，和網(wǎng)絡(luò)連接。</p><p>　　■ 打印機(jī) 配置共享打印機(jī)，瀏覽打印機(jī)，打印池和直接選項(xiàng)</p><p>　　■ 共享文件夾 允許公用

35、的文件夾共享和分配文件系統(tǒng)（DFS）目錄。</p><p>　　■ 開始程序和任務(wù)欄 配置開始程序和任務(wù)欄，首要的移出或隱藏項(xiàng)目和選項(xiàng)。</p><p>　　■ 系統(tǒng) 配置策略相關(guān)的正常的系統(tǒng)設(shè)置，磁盤引述，用戶簡介，登錄，電源管理，系統(tǒng)恢復(fù)，錯誤報(bào)告，和其他更多。</p><p>　　■ Windows 組件 配置是否或者怎么使用Windows組件，例如事件

36、監(jiān)視器，任務(wù)計(jì)劃欄，和Windows更新。</p><p>　　了解組策略所需的基礎(chǔ)設(shè)施</p><p>　　本地組策略是可用的對于運(yùn)行Windows 2000, Windows XP Professional, or Windows Server 2003的計(jì)算機(jī)來說?；谟虻慕M策略只可用在運(yùn)行活動目錄的網(wǎng)絡(luò)中。由于活動目錄工作依靠TCP/IP協(xié)議和域名解析（DNS），因此你必須部署TC

37、P/IP網(wǎng)絡(luò)環(huán)境，DNS，和活動目錄使用的基于域的組策略。</p><p><b>　　DNS和活動目錄</b></p><p>　　DNS提供能使一臺計(jì)算機(jī)找到另一臺計(jì)算機(jī)的名字解析。這是一個(gè)有IETF給出的服務(wù)標(biāo)準(zhǔn)命名在RFC 1034 和 RFC 1035被詳細(xì)的說明。在工作站和服務(wù)器上，DNS在TCP/IP協(xié)議簇被自動的安裝，它提供幾種類型，正向請求允許計(jì)算機(jī)

38、把主機(jī)名轉(zhuǎn)換成IP地址，反向請求允許計(jì)算機(jī)把一個(gè)IP地址轉(zhuǎn)換成主機(jī)名。</p><p>　　活動目錄為域和其他特征提供必需的目錄服務(wù)使他們能夠通過組策略被提前控制。對活動目錄來說基本的通訊協(xié)議是（LDAP）。LDAP是一個(gè)提供目錄訪問且運(yùn)行在TCP/IP協(xié)議上的工業(yè)標(biāo)準(zhǔn)協(xié)議?？蛻舳丝梢允褂肔DAP來請求和管理目錄信息，符合他們準(zhǔn)許的訪問等級。其他通訊協(xié)議也一樣支持，包括REPL接口，被用來復(fù)制；消息應(yīng)用程序接口（

39、MAPI），被用在老版本的消息客戶端；賬戶安全性管理（SAM）接口，允許Windows NT 4.0 的客戶端有限制的訪問活動目錄。總的來說，這些接口允許：</p><p>　　■與LADP通信，活動目錄服務(wù)交互（ADSI），以認(rèn)證為目的的新的客戶端展望，訪問控制，目錄請求，和目錄管理。</p><p>　　■ 復(fù)制其他目錄服務(wù)器以達(dá)到為域控制器分發(fā)目錄變化目的</p>&l

40、t;p>　　■與舊（MAPI）的Outlook客戶端通信，主要用于查詢，</p><p>　　■ 為實(shí)現(xiàn)認(rèn)證和訪問控制與Windows NT 4.0的客戶端通信</p><p>　　通過在活動目錄中使用DNS，你可以建立目錄結(jié)構(gòu)并給出很詳盡的列舉環(huán)境。目錄對象被域邏輯上分組。這使得域內(nèi)活動目錄中的一個(gè)基本結(jié)構(gòu)阻塞。兩個(gè)額外的阻塞是單元和OUs，這些我們先前介紹過。</p>

41、<p>　　活動目錄有非常明確的規(guī)則當(dāng)它在域，站點(diǎn)，和OUs中。網(wǎng)絡(luò)上的每一個(gè)工作站和服務(wù)器必須是域的一個(gè)成員同時(shí)位于一個(gè)單元中。一個(gè)工作站或者服務(wù)器只能屬于一個(gè)域和一個(gè)單元。組織單元，另一方面來說，被域明確定義，可以認(rèn)為是域中子集的包含者。例如，域中你可能有工程部，銷售，銷售員，和支持組織單元。和域一樣，組織單元能被領(lǐng)導(dǎo)層組織。例如，你的銷售組織單元可以有打印機(jī)銷售和計(jì)算機(jī)銷售組織單元。</p><p

42、>　　要點(diǎn)：在Windows NT 中，你經(jīng)常創(chuàng)建額外的域來產(chǎn)生清楚地隔離在用戶，計(jì)算機(jī)，資源或者管理者代表權(quán)限之間，同時(shí)限制管理訪問。你可以使用活動目錄組織單元達(dá)成相似的目的——不需要建立額外的（和更復(fù)雜的）域結(jié)構(gòu)。另一個(gè)在NT中創(chuàng)建額外的域是為了減少網(wǎng)段之間的流量，這也是活動目錄站點(diǎn)的描述。你可以使用單元來增加網(wǎng)段間更好的通信控制。</p><p>　　應(yīng)用Active Directory結(jié)構(gòu)的繼承&l

43、t;/p><p>　　當(dāng)你使本地計(jì)算機(jī)包含我們已經(jīng)討論過的基本結(jié)構(gòu)，一個(gè)典型的活動目錄網(wǎng)絡(luò)有四個(gè)明確的等級：</p><p><b>　　■ 本地計(jì)算機(jī)</b></p><p><b>　　■ 站點(diǎn)</b></p><p><b>　　■ 域</b></p><

44、p><b>　　■ 組織單元</b></p><p>　　當(dāng)組策略被設(shè)置在本地計(jì)算機(jī)等級，每一個(gè)登錄到本地機(jī)器上的人受策略設(shè)置的影響（本地組策略）。基于域的組策略被設(shè)置在真正的目錄結(jié)構(gòu)上，基于域的策略設(shè)置被應(yīng)用在這些基本命令中：站點(diǎn)，域，組織單元。</p><p>　　這個(gè)結(jié)構(gòu)被認(rèn)為有四個(gè)等級。最高等級是本地組策略，第二個(gè)等級是單元，第三級是域，第四級是組織單元

45、。</p><p>　　組織單位可以相互嵌套，所以你可以根據(jù)需要創(chuàng)建額外的等級結(jié)構(gòu)。默認(rèn)地，當(dāng)策略被設(shè)置在一個(gè)等級，設(shè)置應(yīng)用到那一級的所有對象和這一級以下的所有對象，通過繼承。</p><p>　　策略設(shè)置繼承工作如下（除非繼承被阻塞）：</p><p>　　■ 如果策略設(shè)置被應(yīng)用在單元等級，你影響域和組織單元確定的單元部分中所有的用戶和計(jì)算機(jī)。例如，如果主要的單元

46、包含tech.cpandl.com和sales.cpandl.com域，所有被應(yīng)用到單元的設(shè)置將會影響兩個(gè)域中的對象。</p><p>　　■ 如果一個(gè)策略設(shè)置被應(yīng)用在域等級，它影響組織單元確定的為域部分中的所有用戶和計(jì)算機(jī)。例如，如果tech.cpandl.com 包含Engineering和IT組織單元，所有被應(yīng)用到tech.cpandl.com域中的設(shè)置將會影響Engineering和IT組織單元中的對象。

47、</p><p>　　■ 如果一個(gè)策略設(shè)置被應(yīng)用在組織單元等級，它影響組織單元和低于他的組織單元（子組織單元）確定的所有用戶和計(jì)算機(jī)。例如，如果Engineering 組織單元包含WebTeam和 DevTeam子組織單元，所有應(yīng)用到Engineering 組織單元的設(shè)置將會影響ebTeam和 DevTeam組織單元。 </p><p>　　Authors:Darren Mar-Elia,

48、 Derek Melber, William R. StanekThePublisher: Microsoft PressPublished: 2005-05-25Chapter：Chapter 1，Page 3 To 12</p><p>　　Overview of Group Policy</p><p>　　In this chapter, we will introduce

49、Group Policy. You’ll learn what Group Policy does,</p><p>　　how it can be used in both domain and workgroup settings, and what infrastructure</p><p>　　is required to implement it. If you’re runn

50、ing an Active Directorynetwork environment, you need Group Policy. Period. There’s no doubt, no question</p><p>　　at all. Your only real question should be how to make the most of what Group Policy</p>

51、<p>　　has to offer, given your organization’s structure and needs. Why? Because Group</p><p>　　Policy is meant to make your life as an administrator easier. Microsoft coined the term</p><p&

52、gt;　　Group Policy to describe the technology that allows you to group policy settings</p><p>　　together and apply them in discrete sets. Group Policy is, in fact, a collection of policy</p><p>　

53、　settings that simplify administration of common and repetitive tasks as well as unique</p><p>　　tasks that are difficult to implement manually but can be automated (such as deploying new software or enforci

54、ng which programs can be installed on computers).</p><p>　　Related Information</p><p>　　■ For information about DNS architecture, see Chapter 26 in Microsoft Windows</p><p>　　Server

55、 2003 Inside Out (Microsoft Press, 2004).</p><p>　　■ For information about Active Directory architecture, see Chapter 32 in Microsoft</p><p>　　Windows Server 2003 Inside Out.</p><p>

56、;　　■ For information on deploying Group Policy, see Chapter 4 in this book.</p><p>　　Understanding Group Policy</p><p>　　Group Policy provides a convenient and effective way to manage computer a

57、nd user</p><p><b>　　settings.</b></p><p>　　What It Does</p><p>　　With Group Policy, you can manage settings for thousands of users or computers in</p><p>　　

58、the same way that you manage settings for one user or computer—and without ever</p><p>　　leaving your desk. To do this, you use one of several management tools to change a</p><p>　　setting to a

59、desired value, and this change is applied throughout the network to a</p><p>　　desired subset of users or computers or to any individual user or computer.</p><p>　　One way to think of Group Poli

60、cy is as a set of rules that you can apply to help you</p><p>　　manage users and computers. Despite common misperceptions, Group Policy does</p><p>　　this in a way that is more intuitive than wa

61、s previously possible. Still a nonbeliever?</p><p>　　Consider for a moment that before Group Policy, many of the administrative changes</p><p>　　that Group Policy enables were possible only by h

62、acking the Windows registry, and</p><p>　　each change had to be made individually on each target computer. Time consuming,</p><p>　　tricky to implement, prone to disastrous results? You betcha.&

63、lt;/p><p>　　Enter Group Policy, whereby you can simply enable or disable a policy to tweak a</p><p>　　registry value or other setting, and the change will apply automatically to every computer you

64、designate the next time Group Policy is refreshed. Because changes can be modeled (through the Group Policy Management Console) before the modifications are applied, you can be certain of the effect of each desired chang

65、e. Plus, if you don’t like the results, you can undo a change by setting the policy back to its original or Not Configured state.</p><p>　　To take this scenario a step further, consider the case in which you

66、’ve manually</p><p>　　tweaked multiple Microsoftand you start to have problems. Maybe users can’t log on, they can’t perform necessary actions, or computers aren’t responding normally. If you documented ever

67、y</p><p>　　change on every computer, you might be able to undo the changes—if you are lucky</p><p>　　and if you properly documented the original settings as well as the changes. In contrast,Grou

68、p Policy allows you to back up (“save”) the state of Group Policy before</p><p>　　making changes. If something goes wrong, you can restore Group Policy to its original state. When you restore the state of Gr

69、oup Policy, you can be certain that all changes are undone with the next Group Policy refresh.</p><p>　　How It Works</p><p>　　Speaking of Group Policy refresh, you are probably wondering what th

70、is term</p><p>　　means. While the nitty-gritty details are covered in Chapter 2, the basics of group</p><p>　　policy application (initial processing) and refresh (subsequent processing) are</

71、p><p>　　straightforward. In Active Directory, two distinct sets of policies are defined:</p><p>　　■ Computer policies These apply to computers and are stored under Computer</p><p>　　Co

72、nfiguration in Group Policy.</p><p>　　■ User policies These apply to users and are stored under User Configuration in</p><p>　　Group Policy.</p><p>　　Initial processing of the relat

73、ed policies is triggered by two unique events:</p><p>　　■ Processing of computer policies is triggered when a computer is started. When</p><p>　　a computer is started and the network connection

74、is initialized, computer policy</p><p>　　settings are applied and a history of the registry-based settings that were applied</p><p>　　is written to %AllUsersProfile%\Ntuser.pol.</p><p

75、>　　■ Processing of user policies is triggered when a user logs on to a computer. When</p><p>　　a user logs on to a computer, user policy settings are applied and a history of the</p><p>　　reg

76、istry-based settings that were applied is written to %UserProfile%\Ntuser.pol.</p><p>　　Once applied, Group Policy settings are automatically refreshed to keep settings current and to reflect any changes tha

77、t might have been made. By default, Group Policy on domain controllers is refreshed every 5 minutes. For workstations and other types of servers, Group Policy is refreshed every 90 to 120 minutes by default. In addition,

78、Group Policy is refreshed every 16 hours regardless of whether or not any policy settings have changed in the intervening time.</p><p>　　Note Officially, the default Group Policy refresh interval on workstat

79、ions and member servers is every 90 minutes, but a delay of up to 30 minutes is added to avoid flooding domain controllers with multiple simultaneous refresh requests. This effectively makes the default refresh window fr

80、om 90 to 120 minutes.</p><p>　　Tip Other factors can affect Group Policy refresh, including how slow link detection</p><p>　　is defined (per the Group Policy Slow Link Detection Policy under Com

81、puter Configuration\Administrative Templates\System\Group Policy) and policy processing settings for policies under Computer Configuration\Administrative Templates\System\Group Policy. You can check the last refresh of G

82、roup Policy using the Group Policy Management Console (GPMC). (See the section titled “Determining Policy Settings and Last Refresh” in Chapter 3.)</p><p>　　Using and Implementing Group Policy</p><

83、;p>　　Group Policy is so important to a successful Active Directory implementation that</p><p>　　most administrators think of it as a component of Active Directory. This is mostly</p><p>　　tru

84、e—and it is okay to think of it this way—but you don’t necessarily need Active</p><p>　　Directory to use Group Policy.</p><p>　　Using Group Policy in Workgroups and Domains</p><p>　

85、　You can use Group Policy to manage workstations running Microsoft Windows 2000</p><p>　　and Windows XP Professional as well as servers running Windows 2000 and Windows Server? 2003. While you can’t use Grou

86、p Policy to manage Windows NT® workstations or servers, Windows 95, Windows 98, Windows Millennium Edition(Me), or Windows XP Home Edition, you can use Group Policy in both enterprise (domain) and local (workgroup)

87、environments.</p><p>　　For enterprise environments where Active Directory is deployed, the complete set of</p><p>　　policy settings is available. This policy set is referred to as domain-based G

88、roup Policy,Active Directory–based Group Policy, or simply Group Policy. In Active Directory, two important related elements are sites and organizational units (OUs). A site represents the physical architecture of your n

89、etwork. It is a group of TCP/IP subnets that are implemented to control directory replication traffic and isolate logon authentication traffic between physical network locations. OUs are used to group o</p><p&

90、gt;　　Working with Group Policy Objects</p><p>　　Group Policy is applied in discrete sets, referred to as Group Policy Objects (GPOs).</p><p>　　GPOs contain settings that can be applied in a vari

91、ety of ways to computers and users in a specific Active Directory domain, site, or OU. Because of the object-based hierarchy in Active Directory, the settings of top-level GPOs can also be inherited by lower-level GPOs.&

92、lt;/p><p>　　For example, a setting for the cpandl.com domain can be inherited by the Engineering</p><p>　　OU within that domain, and the domain settings will be applied to users and computers in th

93、e Engineering OU. If you don’t want policy settings to be inherited, you can block these settings to ensure that only the GPO settings for the low-level GPO are applied.</p><p>　　For local environments, a su

94、bset of Group Policy called Local Group Policy is available.As the name implies, Local Group Policy allows you to manage policy settings that affect everyone who logs on to a local machine. This means Local Group Policy

95、applies to any user or administrator who logs on to a computer that is a member of a workgroup as well as any user or administrator who logs on locally to a computer that is a member of a domain. Because Local Group Poli

96、cy is a subset of Group Policy, </p><p>　　Beyond these fundamental differences between Local Group Policy and Active</p><p>　　Directory–based Group Policy, both types of policy are managed in mu

97、ch the same</p><p>　　way. In fact, you use the same tools to manage both. The key difference is in the GPO</p><p>　　you work with. On a local machine, you work exclusively with the LGPO. If you

98、have</p><p>　　deployed Active Directory, however, you can also work with domain, site, and OU</p><p>　　GPOs in addition to LGPOs.</p><p>　　Getting Started with Group Policy</p>

99、;<p>　　So far we’ve discussed what group policy does, how it works, and how to use it, but we haven’t discussed the specific ways in which it can help you better manage your network.</p><p>　　Understa

100、nding Group Policy Settings and Options</p><p>　　First of all, Group Policy might not be what you think it is. If you are moving from</p><p>　　Windows NT 4.0 environments to Windows Server 2003

101、environments, you should</p><p>　　know right up front that Group Policy is not the same as Windows NT System Policy.</p><p>　　Windows NT System Policy is very limited and quite frankly not even

102、on the same</p><p>　　playing field as Group Policy. If you have worked with Windows 2000 or later versions of the Windows operating system, you might have already seen some of what Group Policy can do and no

103、t realized it, or you might have heard someone incorrectly</p><p>　　blame Group Policy for his woes.</p><p>　　The simple truth is that Group Policy does what you tell it to do. You manage Group&

104、lt;/p><p>　　Policy by configuring policy settings. A policy setting is an individual setting that you</p><p>　　apply, such as restricting access to the Run dialog box. Most policy settings have thr