快捷搜索:  as  2018  FtCWSyGV  С˵  test  xxx  Ψһ  w3viyKQx

澳门威尼人斯_龟发之家论坛



对台式机设置设置设备摆设摆设更详尽的节制

组策略是Windows 2000中新增添的我最爱好的功能,它给了我Windows NT从来没有供给过的功能━━对用户谋略机集中而详尽的节制,我们可以把组策略看作是NT 4.0中系统策略的改进。组策略工具(GPO)是基于活动目录(AD)的工具,用户可以经由过程它集中地对Win2K台式机和办事器系统进行设置设置设备摆设摆设,它的功能包括从NT 4.0台式机的锁定到安然性设置设置设备摆设摆设和软件安装等。

篇文章主要讲述组策略是若何对系统起感化的、系统内部的事情道理以及在Win2K情况中采纳这一技巧时应该留意的问题,假如懂得NT 4.0中系统策略的道理对我们理解组策略有必然的赞助。

组策略是什么?

GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中,一个单一的系统策略文件(例如ntconfig.pol)包括所有的可以履行的策略功能,但它依附于用户谋略机中的系统注册表的设置。在Win2K中,GPO包括文件和AD工具。经由过程组策略,可以指定基于注册表的设置、应用NT 4.0款式.adm模板文件的运行Win2K的本地谋略机、域的安然设置和应用Windows安装法度榜样的收集软件安装,这样在安装软件时就可以对文件夹进行重定向。

微软治理节制台(MMC)中的组策略编辑器(GPE)插件与NT 4.0中的系统策略编辑器poledit.exe相称。在GPE中的每个功能节点(例如软件设置、Windows 设置、治理模块等)都是MMC插件扩展,在MMC插件中扩展是可选的治理对象,假如你是利用法度榜样开拓者,可以经由过程定制的扩展拓展GPO的功能,从而针对你的利用法度榜样供给附加的策略节制。

只有运行Win2K的系统可以履行组策略,运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。

组策略和AD

要充分发挥GPO的功能,必要有AD域架构的支持,使用AD可以定义一个集中的策略,所有的Win2K办事器和事情站都可以采纳它。然而,每台运行Win2K的谋略机都有一个本地GPO(驻留在本地谋略机文件系统上的GPO),经由过程本地GPO,可以为每台事情站指定一个策略,它在AD域澳门威尼人斯中不起感化。例如,出于安然缘故原由,你不会在AD域中设置设置设备摆设摆设公用的谋略机。使用本地GPO,可以经由过程改动本地策略来获得安然性和对台式机的限定应用而无需使用基于AD域的GPO。造访本地GPO的措施有2种,第1种措施,澳门威尼人斯在必要改动GPO的谋略机的“开始”菜单上选择“运行”,然后键入:

gpedit.msc

这个操作的感化与NT 4.0中的poledit.exe相同,可以打开本地策略文件。第2种措施,可以经由过程在MMC节制台中选择GPE插件,并选择本地或远程谋略机来人工地编辑本地GPO。

本地GPO支持除软件安装和文件夹重定向之外的所出缺省扩展,是以,只使用本地GPO你不能完成这些事情,假如想充分发挥GPO的功能,照样必要AD的支持。

GPO的多样性和承袭

在AD中,可以在域、组织单位(OU)或地址三个不合的层次上定义GPO。OU是AD中的一个容器,可以指派它对用户、组、谋略机等工具进行治理,地址是收集上子网的聚拢,地址形成了AD的复制分界线。GPO的名字空间被划分为谋略机设置设置设备摆设摆设和用户设置设置设备摆设摆设两个大年夜类,只有用户和谋略机可以应用GPO,象打印机工具以致用户组都不能利用GPO。

在一个域或组织单位(OU)中编辑策略的道路有几种。在活动目任命户或谋略机MMC插件中,右击一个域或组织单位(OU),在菜单中选择“属性”,然后选择“组策略”标签。在编辑地址中的策略时,必要右击“活动目录地址和办事”插件,然后右击必要的地址获得其GPO。此外,还可以从“开始”菜单,选择“运行”,然后键入:

mmc.exe

启动MMC,选择“节制台”,“增添/删除”插件,然后选择“组策略”插件、“浏览”,在AD域内的GPO就会显示出来,可以选择一个GPO进行编辑。

根据GPO在AD名字空间中的不合位置,可以有几个GPO对用户工具或谋略机工具起感化。只有域中的其他工具是经由过程承袭天生时GPO才是经由过程承袭天生的。Win2K经由过程下面的要领履行GPO,首先,操作系统履行现有的本地系统上的策略,然后,Win2K履行定义的地址级的GPO、域一级的GPO和基于OU的GPO,微软把这一优先顺序取其首个字母缩写为LSDOU(履行的顺序依次是本地、地址、域、OU层次的GPO),用户可以在这个链上的许多层次上定义GPO。我们以pilot域为例阐明若何不雅察一个系统中的GPO,启动“活动目任命户和谋略机MMC”对象,右击pilot域名,从菜单中选择“属性”项,然后选择组策略标签。在这个列表顶真个GPO(例如域范围的安然策略)有最高的优先权,是以,Win2K着末才会履行它。除了本地系统外,可以在每个层次上定义几个GPO,是以假如不能严格地治理GPO,就会呈现不需要的问题。澳门威尼人斯

GPO的履行和过滤

只有用户和谋略机工具才能履行组策略。在谋略机的启动和关闭时,Win2K履行在GPO的谋略机设置设置设备摆设摆设部分定义的澳门威尼人斯策略,在用户登录和注销时,Win2K履行在GPO顶用户设置设置设备摆设摆设部分定义的策略。事实上,在用户登录时可以经由过程手动要领履行一些的策略,例如可以在敕令行要领下运行secedit.exe法度榜样履行安然策略利用法度榜样。此外,经由过程治理员模块策略可以按期地对用户和谋略机的GPO设置进行刷新,缺省环境下,这种刷新每90分钟进行一次,这种刷新可以使其他用户不轻易改动经由过程组策略定义的策略。然则,软件安装策略是不会刷新的,由于没有人盼望周期性地改变策略引起软件的“缷载”,尤其是有其他用户在应用时,就更是这样了。谋略机、用户工具只有在谋略机启动或用户登录时才会软件安装策略。

只管只有AD中的谋略机和用户澳门威尼人斯工具才能履行GPO,但我们可以过滤GPO的效果。应用Win2K中的安然组、利用组策略━━这是Win2K中的一项新的安然特点,可以使特定的用户组不能履行某一个GPO。右击MMC中GPO的名字,选择“属性”,然后再选择“安然”,就可以看到GPO今朝的安然设置。认证用户组具有利用组策略权利,从而隶属这一GPO的所有用户可以履行它。在Win2K中,安然组可以包括用户和谋略机工具。是以,使用安然组可以仔细地调剂用户、谋略机工具若何履行一个GPO。你还可以对个其余利用法度榜样利用安然组,可以指派一个GPO的软件安装部分。例如,假设你在一个GPO中宣布10个利用法度榜样,可以指定只让金融用户用户组造访此中的5个,其他用户登录到这个域时,它们也不会发明这5个利用法度榜样。

GPO的内部构成

一个GPO是由两部分组成的:组策略容器(GPC)和组策略模板(GPT)。GPC是GPO在AD中的一个实例,在一个特殊的被称作系统的容器内有一个128位的举世独一的ID码(GUID)。在“活动用户目任命户和谋略机”插件中选择“浏览”,从MMC菜单中选择“高档属性”,就可以看到“系统”容器。GPT是组策略在Win2K文件系统中的体现,与一个GPO有关的所有文件依附于GPT。

您可能还会对下面的文章感兴趣: