国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費電子書等14項超值服

開通VIP

首頁

好書

留言交流

下載APP

聯(lián)系客服
、計算機(jī) 組策略是什么?
   
    一、   
    一、組策略是什么?

    組策略是從Windows 2000中開始使用的管理技術(shù),管理員可以使用組策略對一臺或多臺計算機(jī)的各種選項進(jìn)行設(shè)置。組策略的使用非常靈活,其中包括了策略設(shè)置、安全設(shè)置、軟件安裝、腳本運行、計算機(jī)啟動和關(guān)閉、用戶登錄和注銷等各種方面。具有組策略功能的系統(tǒng)包括Windows 2000、Windows XP Professional(不包括Home版)以及Windows Server 2003。
   
    GPO(中文意思為“組策略對象”,英文全寫是group policy object,第二個單詞記沒記清楚,不好意思。應(yīng)該是對得吧)是一種與域、地址或組織單元相聯(lián)系的物理策略。在NT 4.0系統(tǒng)中,一個單一的系統(tǒng)策略文件(例如ntconfig.pol)包括所有的可以執(zhí)行的策略功能,但它依賴于用戶計算機(jī)中的系統(tǒng)注冊表的設(shè)置。在Win2K中,GPO包括文件和AD對象。通過組策略,可以指定基于注冊表的設(shè)置、使用NT 4.0格式.adm模板文件的運行Win2K的本地計算機(jī)、域的安全設(shè)置和使用Windows安裝程序的網(wǎng)絡(luò)軟件安裝,這樣在安裝軟件時就可以對文件夾進(jìn)行重定向。

    微軟管理控制臺(MMC)中的組策略編輯器(GPE)插件與NT 4.0中的系統(tǒng)策略編輯器poledit.exe相當(dāng)。在GPE中的每個功能節(jié)點(例如軟件設(shè)置、Windows 設(shè)置、管理模塊等)都是MMC插件擴(kuò)展,在MMC插件中擴(kuò)展是可選的管理工具,如果你是應(yīng)用程序開發(fā)者,可以通過定制的擴(kuò)展拓展GPO的功能,從而針對你的應(yīng)用程序提供附加的策略控制。

    只有運行Win2K的系統(tǒng)可以執(zhí)行組策略,運行NT 4.0和Windows 9x的客戶機(jī)則無法識別到或運行具有AD架構(gòu)的GPO。

    二、組策略和AD

    要充分發(fā)揮GPO的功能,需要有AD域架構(gòu)的支持,利用AD可以定義一個集中的策略,所有的Win2K服務(wù)器和工作站都可以采用它。然而,每臺運行Win2K的計算機(jī)都有一個本地GPO(駐留在本地計算機(jī)文件系統(tǒng)上的GPO),通過本地GPO,可以為每臺工作站指定一個策略,它在AD域中不起作用。例如,出于安全原因,你不會在AD域中配置公用的計算機(jī)。利用本地GPO,可以通過修改本地策略來得到安全性和對臺式機(jī)的限制使用而無需利用基于AD域的GPO。訪問本地GPO的方法有2種,第1種方法,在需要修改GPO的計算機(jī)的“開始”菜單上選擇“運行”,然后鍵入:gpedit.msc。

    這個操作的作用與NT 4.0中的poledit.exe相同,可以打開本地策略文件。第2種方法,可以通過在MMC控制臺中選擇GPE插件,并選擇本地或遠(yuǎn)程計算機(jī)來人工地編輯本地GPO。

    本地GPO支持除軟件安裝和文件夾重定向之外的所有缺省擴(kuò)展,因此,只利用本地GPO你不能完成這些工作,如果想充分發(fā)揮GPO的功能,還是需要AD的支持。

    三、GPO的多樣性和繼承

    在AD中,可以在域、組織單位(OU)或地址三個不同的層次上定義GPO。OU是AD中的一個容器,可以指派它對用戶、組、計算機(jī)等對象進(jìn)行管理,地址是網(wǎng)絡(luò)上子網(wǎng)的集合,地址形成了AD的復(fù)制分界線。GPO的名字空間被劃分為計算機(jī)配置和用戶配置兩個大類,只有用戶和計算機(jī)可以使用GPO,象打印機(jī)對象甚至用戶組都不能應(yīng)用GPO。

    在一個域或組織單位(OU)中編輯策略的途徑有幾種。在活動目錄用戶或計算機(jī)MMC插件中,右擊一個域或組織單位(OU),在菜單中選擇“屬性”,然后選擇“組策略”標(biāo)簽。在編輯地址中的策略時,需要右擊“活動目錄地址和服務(wù)”插件,然后右擊需要的地址得到其GPO。此外,還可以從“開始”菜單,選擇“運行”,然后鍵入: mmc.exe 啟動MMC,選擇“控制臺”,“增加/刪除”插件,然后選擇“組策略”插件、“瀏覽”,在AD域內(nèi)的GPO就會顯示出來,可以選擇一個GPO進(jìn)行編輯。

    根據(jù)GPO在AD名字空間中的不同位置,可以有幾個GPO對用戶對象或計算機(jī)對象起作用。只有域中的其他對象是通過繼承生成時GPO才是通過繼承生成的。Win2K通過下面的方式執(zhí)行GPO,首先,操作系統(tǒng)執(zhí)行現(xiàn)有的本地系統(tǒng)上的策略,然后,Win2K執(zhí)行定義的地址級的GPO、域一級的GPO和基于OU的GPO,微軟把這一優(yōu)先順序取其首個字母縮寫為LSDOU(執(zhí)行的順序依次是本地、地址、域、OU層次的GPO),用戶可以在這個鏈上的許多層次上定義GPO。我們以pilot域為例說明如何察看一個系統(tǒng)中的GPO,啟動“活動目錄用戶和計算機(jī)MMC”工具,右擊pilot域名,從菜單中選擇“屬性”項,然后選擇組策略標(biāo)簽。在這個列表頂端的GPO(例如域范圍的安全策略)有最高的優(yōu)先權(quán),因此,Win2K最后才會執(zhí)行它。除了本地系統(tǒng)外,可以在每個層次上定義幾個GPO,因此如果不能嚴(yán)格地管理GPO,就會出現(xiàn)不必要的問題。

    GPO的繼承模型與Novell公司的Zenworks策略方式截然不同。在Zenworks中,如果在Novell目錄服務(wù)(NDS)樹上的不同點使用多個策略包,只有距離用戶對象最近的策略包才起作用。在Win2K中,如果在AD的不同層次上定義四個GPO,操作系統(tǒng)使用“LSDOU”優(yōu)先順序來執(zhí)行這些策略,對計算機(jī)或用戶的作用是這四個策略執(zhí)行的“和”。此外,有時在一個GPO中的設(shè)置會被其他GPO中的設(shè)置抵銷。通過AD級GPO,用戶可以擁有更多的策略控制委托,例如,公司的安全部門負(fù)責(zé)在域一級上設(shè)計用于所有系統(tǒng)設(shè)備的安全GPO。通過使用GPO,可以讓某個OU的系統(tǒng)管理員擁有在OU上安裝軟件的權(quán)利。在Zenworks模型中,必須在希望使用策略的所有層次上復(fù)制這些策略,而且策略對用戶或計算機(jī)對象的作用并非是所有策略的“和”。

    為了進(jìn)一步地控制GPO,微軟提供了三種設(shè)置來限制GPO繼承的復(fù)雜性。在地址、域、OU三個層次上用戶都可以通過選擇一個檢查框阻止從更高一個層次上進(jìn)行繼承,同樣,在每一個層次上,用戶可以選擇缺省的域策略選項,方法是打開“活動目錄用戶和計算機(jī)”插件,右擊GPO所在的域或OU,從菜單中選擇“屬性”,然后選擇“組策略”標(biāo)簽。讓你希望修改的項目變亮,然后選擇“選項”按鈕,可供選擇的選項有“不覆蓋”或“禁止”。如果選擇了“不覆蓋”選項,即使選擇了不能繼承的檢查框,該GPO還是會起作用。如果想在任何一個地方執(zhí)行一個GPO時,這一功能就很有用處。如果一個OU的管理員試圖阻止對安全策略的繼承,包含安全策略的GPO仍然會被系統(tǒng)執(zhí)行。“禁止”檢查框可以完全禁止一個GPO執(zhí)行,這一功能在你對一個GPO進(jìn)行編輯而不想讓其他的用戶執(zhí)行它時特別有效。

    四、GPO的執(zhí)行和過濾

    只有用戶和計算機(jī)對象才能執(zhí)行組策略。在計算機(jī)的啟動和關(guān)閉時,Win2K執(zhí)行在GPO的計算機(jī)配置部分定義的策略,在用戶登錄和注銷時,Win2K執(zhí)行在GPO中用戶配置部分定義的策略。事實上,在用戶登錄時可以通過手動方式執(zhí)行一些的策略,例如可以在命令行方式下運行secedit.exe程序執(zhí)行安全策略應(yīng)用程序。此外,通過管理員模塊策略可以定期地對用戶和計算機(jī)的GPO設(shè)置進(jìn)行刷新,缺省情況下,這種刷新每90分鐘進(jìn)行一次,這種刷新可以使其他用戶不容易修改通過組策略定義的策略。但是,軟件安裝策略是不會刷新的,因為沒有人希望周期性地改變策略引起軟件的“?載”,尤其是有其他用戶在使用時,就更是這樣了。計算機(jī)、用戶對象只有在計算機(jī)啟動或用戶登錄時才會軟件安裝策略。

    盡管只有AD中的計算機(jī)和用戶對象才能執(zhí)行GPO,但我們可以過濾GPO的效果。使用Win2K中的安全組、應(yīng)用組策略━━這是Win2K中的一項新的安全特性,可以使特定的用戶組不能執(zhí)行某一個GPO。右擊MMC中GPO的名字,選擇“屬性”,然后再選擇“安全”,就可以看到GPO目前的安全設(shè)置。認(rèn)證用戶組具有應(yīng)用組策略權(quán)利,從而附屬這一GPO的所有用戶可以執(zhí)行它。在Win2K中,安全組可以包括用戶和計算機(jī)對象。因此,利用安全組可以仔細(xì)地調(diào)整用戶、計算機(jī)對象如何執(zhí)行一個GPO。你還可以對個別的應(yīng)用程序應(yīng)用安全組,可以指派一個GPO的軟件安裝部分。例如,假設(shè)你在一個GPO中發(fā)布10個應(yīng)用程序,可以指定只讓金融用戶用戶組訪問其中的5個,其他用戶登錄到這個域時,它們也不會發(fā)現(xiàn)這5個應(yīng)用程序。

    五、GPO的內(nèi)部構(gòu)成

    一個GPO是由兩部分組成的:組策略容器(GPC)和組策略模板(GPT)。GPC是GPO在AD中的一個實例,在一個特殊的被稱作系統(tǒng)的容器內(nèi)有一個128位的全球唯一的ID碼(GUID)。在“活動用戶目錄用戶和計算機(jī)”插件中選擇“瀏覽”,從MMC菜單中選擇“高級屬性”,就可以看到“系統(tǒng)”容器。GPT是組策略在Win2K文件系統(tǒng)中的表現(xiàn),與一個GPO有關(guān)的所有文件依賴于GPT 
    組策略是從Windows 2000中開始使用的管理技術(shù),管理員可以使用組策略對一臺或多臺計算機(jī)的各種選項進(jìn)行設(shè)置。組策略的使用非常靈活,其中包括了策略設(shè)置、安全設(shè)置、軟件安裝、腳本運行、計算機(jī)啟動和關(guān)閉、用戶登錄和注銷等各種方面。具有組策略功能的系統(tǒng)包括Windows 2000、Windows XP Professional(不包括Home版)以及Windows Server 2003。
   
    GPO(中文意思為“組策略對象”,英文全寫是group policy object,第二個單詞記沒記清楚,不好意思。應(yīng)該是對得吧)是一種與域、地址或組織單元相聯(lián)系的物理策略。在NT 4.0系統(tǒng)中,一個單一的系統(tǒng)策略文件(例如ntconfig.pol)包括所有的可以執(zhí)行的策略功能,但它依賴于用戶計算機(jī)中的系統(tǒng)注冊表的設(shè)置。在Win2K中,GPO包括文件和AD對象。通過組策略,可以指定基于注冊表的設(shè)置、使用NT 4.0格式.adm模板文件的運行Win2K的本地計算機(jī)、域的安全設(shè)置和使用Windows安裝程序的網(wǎng)絡(luò)軟件安裝,這樣在安裝軟件時就可以對文件夾進(jìn)行重定向。

    微軟管理控制臺(MMC)中的組策略編輯器(GPE)插件與NT 4.0中的系統(tǒng)策略編輯器poledit.exe相當(dāng)。在GPE中的每個功能節(jié)點(例如軟件設(shè)置、Windows 設(shè)置、管理模塊等)都是MMC插件擴(kuò)展,在MMC插件中擴(kuò)展是可選的管理工具,如果你是應(yīng)用程序開發(fā)者,可以通過定制的擴(kuò)展拓展GPO的功能,從而針對你的應(yīng)用程序提供附加的策略控制。

    只有運行Win2K的系統(tǒng)可以執(zhí)行組策略,運行NT 4.0和Windows 9x的客戶機(jī)則無法識別到或運行具有AD架構(gòu)的GPO。

    二、組策略和AD

    要充分發(fā)揮GPO的功能,需要有AD域架構(gòu)的支持,利用AD可以定義一個集中的策略,所有的Win2K服務(wù)器和工作站都可以采用它。然而,每臺運行Win2K的計算機(jī)都有一個本地GPO(駐留在本地計算機(jī)文件系統(tǒng)上的GPO),通過本地GPO,可以為每臺工作站指定一個策略,它在AD域中不起作用。例如,出于安全原因,你不會在AD域中配置公用的計算機(jī)。利用本地GPO,可以通過修改本地策略來得到安全性和對臺式機(jī)的限制使用而無需利用基于AD域的GPO。訪問本地GPO的方法有2種,第1種方法,在需要修改GPO的計算機(jī)的“開始”菜單上選擇“運行”,然后鍵入:gpedit.msc。

    這個操作的作用與NT 4.0中的poledit.exe相同,可以打開本地策略文件。第2種方法,可以通過在MMC控制臺中選擇GPE插件,并選擇本地或遠(yuǎn)程計算機(jī)來人工地編輯本地GPO。

    本地GPO支持除軟件安裝和文件夾重定向之外的所有缺省擴(kuò)展,因此,只利用本地GPO你不能完成這些工作,如果想充分發(fā)揮GPO的功能,還是需要AD的支持。

    三、GPO的多樣性和繼承

    在AD中,可以在域、組織單位(OU)或地址三個不同的層次上定義GPO。OU是AD中的一個容器,可以指派它對用戶、組、計算機(jī)等對象進(jìn)行管理,地址是網(wǎng)絡(luò)上子網(wǎng)的集合,地址形成了AD的復(fù)制分界線。GPO的名字空間被劃分為計算機(jī)配置和用戶配置兩個大類,只有用戶和計算機(jī)可以使用GPO,象打印機(jī)對象甚至用戶組都不能應(yīng)用GPO。

    在一個域或組織單位(OU)中編輯策略的途徑有幾種。在活動目錄用戶或計算機(jī)MMC插件中,右擊一個域或組織單位(OU),在菜單中選擇“屬性”,然后選擇“組策略”標(biāo)簽。在編輯地址中的策略時,需要右擊“活動目錄地址和服務(wù)”插件,然后右擊需要的地址得到其GPO。此外,還可以從“開始”菜單,選擇“運行”,然后鍵入: mmc.exe 啟動MMC,選擇“控制臺”,“增加/刪除”插件,然后選擇“組策略”插件、“瀏覽”,在AD域內(nèi)的GPO就會顯示出來,可以選擇一個GPO進(jìn)行編輯。

    根據(jù)GPO在AD名字空間中的不同位置,可以有幾個GPO對用戶對象或計算機(jī)對象起作用。只有域中的其他對象是通過繼承生成時GPO才是通過繼承生成的。Win2K通過下面的方式執(zhí)行GPO,首先,操作系統(tǒng)執(zhí)行現(xiàn)有的本地系統(tǒng)上的策略,然后,Win2K執(zhí)行定義的地址級的GPO、域一級的GPO和基于OU的GPO,微軟把這一優(yōu)先順序取其首個字母縮寫為LSDOU(執(zhí)行的順序依次是本地、地址、域、OU層次的GPO),用戶可以在這個鏈上的許多層次上定義GPO。我們以pilot域為例說明如何察看一個系統(tǒng)中的GPO,啟動“活動目錄用戶和計算機(jī)MMC”工具,右擊pilot域名,從菜單中選擇“屬性”項,然后選擇組策略標(biāo)簽。在這個列表頂端的GPO(例如域范圍的安全策略)有最高的優(yōu)先權(quán),因此,Win2K最后才會執(zhí)行它。除了本地系統(tǒng)外,可以在每個層次上定義幾個GPO,因此如果不能嚴(yán)格地管理GPO,就會出現(xiàn)不必要的問題。

    GPO的繼承模型與Novell公司的Zenworks策略方式截然不同。在Zenworks中,如果在Novell目錄服務(wù)(NDS)樹上的不同點使用多個策略包,只有距離用戶對象最近的策略包才起作用。在Win2K中,如果在AD的不同層次上定義四個GPO,操作系統(tǒng)使用“LSDOU”優(yōu)先順序來執(zhí)行這些策略,對計算機(jī)或用戶的作用是這四個策略執(zhí)行的“和”。此外,有時在一個GPO中的設(shè)置會被其他GPO中的設(shè)置抵銷。通過AD級GPO,用戶可以擁有更多的策略控制委托,例如,公司的安全部門負(fù)責(zé)在域一級上設(shè)計用于所有系統(tǒng)設(shè)備的安全GPO。通過使用GPO,可以讓某個OU的系統(tǒng)管理員擁有在OU上安裝軟件的權(quán)利。在Zenworks模型中,必須在希望使用策略的所有層次上復(fù)制這些策略,而且策略對用戶或計算機(jī)對象的作用并非是所有策略的“和”。

    為了進(jìn)一步地控制GPO,微軟提供了三種設(shè)置來限制GPO繼承的復(fù)雜性。在地址、域、OU三個層次上用戶都可以通過選擇一個檢查框阻止從更高一個層次上進(jìn)行繼承,同樣,在每一個層次上,用戶可以選擇缺省的域策略選項,方法是打開“活動目錄用戶和計算機(jī)”插件,右擊GPO所在的域或OU,從菜單中選擇“屬性”,然后選擇“組策略”標(biāo)簽。讓你希望修改的項目變亮,然后選擇“選項”按鈕,可供選擇的選項有“不覆蓋”或“禁止”。如果選擇了“不覆蓋”選項,即使選擇了不能繼承的檢查框,該GPO還是會起作用。如果想在任何一個地方執(zhí)行一個GPO時,這一功能就很有用處。如果一個OU的管理員試圖阻止對安全策略的繼承,包含安全策略的GPO仍然會被系統(tǒng)執(zhí)行。“禁止”檢查框可以完全禁止一個GPO執(zhí)行,這一功能在你對一個GPO進(jìn)行編輯而不想讓其他的用戶執(zhí)行它時特別有效。

    四、GPO的執(zhí)行和過濾

    只有用戶和計算機(jī)對象才能執(zhí)行組策略。在計算機(jī)的啟動和關(guān)閉時,Win2K執(zhí)行在GPO的計算機(jī)配置部分定義的策略,在用戶登錄和注銷時,Win2K執(zhí)行在GPO中用戶配置部分定義的策略。事實上,在用戶登錄時可以通過手動方式執(zhí)行一些的策略,例如可以在命令行方式下運行secedit.exe程序執(zhí)行安全策略應(yīng)用程序。此外,通過管理員模塊策略可以定期地對用戶和計算機(jī)的GPO設(shè)置進(jìn)行刷新,缺省情況下,這種刷新每90分鐘進(jìn)行一次,這種刷新可以使其他用戶不容易修改通過組策略定義的策略。但是,軟件安裝策略是不會刷新的,因為沒有人希望周期性地改變策略引起軟件的“?載”,尤其是有其他用戶在使用時,就更是這樣了。計算機(jī)、用戶對象只有在計算機(jī)啟動或用戶登錄時才會軟件安裝策略。

    盡管只有AD中的計算機(jī)和用戶對象才能執(zhí)行GPO,但我們可以過濾GPO的效果。使用Win2K中的安全組、應(yīng)用組策略━━這是Win2K中的一項新的安全特性,可以使特定的用戶組不能執(zhí)行某一個GPO。右擊MMC中GPO的名字,選擇“屬性”,然后再選擇“安全”,就可以看到GPO目前的安全設(shè)置。認(rèn)證用戶組具有應(yīng)用組策略權(quán)利,從而附屬這一GPO的所有用戶可以執(zhí)行它。在Win2K中,安全組可以包括用戶和計算機(jī)對象。因此,利用安全組可以仔細(xì)地調(diào)整用戶、計算機(jī)對象如何執(zhí)行一個GPO。你還可以對個別的應(yīng)用程序應(yīng)用安全組,可以指派一個GPO的軟件安裝部分。例如,假設(shè)你在一個GPO中發(fā)布10個應(yīng)用程序,可以指定只讓金融用戶用戶組訪問其中的5個,其他用戶登錄到這個域時,它們也不會發(fā)現(xiàn)這5個應(yīng)用程序。

    五、GPO的內(nèi)部構(gòu)成

    一個GPO是由兩部分組成的:組策略容器(GPC)和組策略模板(GPT)。GPC是GPO在AD中的一個實例,在一個特殊的被稱作系統(tǒng)的容器內(nèi)有一個128位的全球唯一的ID碼(GUID)。在“活動用戶目錄用戶和計算機(jī)”插件中選擇“瀏覽”,從MMC菜單中選擇“高級屬性”,就可以看到“系統(tǒng)”容器。GPT是組策略在Win2K文件系統(tǒng)中的表現(xiàn),與一個GPO有關(guān)的所有文件依賴于GPT
本站僅提供存儲服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點擊舉報。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
10規(guī)劃和設(shè)計組策略 — Windows Live
組策略入門
活動目錄、域及組策略 - Windows Server - WinOS中文技術(shù)論壇 專注微...
[第4期實錄]Windows 2000/XP/2003組策略配置及常見問題(一)
配置Active Directory域基礎(chǔ)結(jié)構(gòu)(2) — IT技術(shù)
修改windows2008 server 域的密碼策略
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長圖 關(guān)注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點擊這里聯(lián)系客服!

聯(lián)系客服