組策略檢視原始碼討論檢視歷史

組策略

來自 站酷網 的圖片

中文名 ：組策略 作用 ：設置各種軟件、計算機和用戶策略 外文名 ：Group Policy

組策略（英語：Group Policy）是微軟Windows NT家族操作系統的一個特性，它可以控制用戶帳戶和計算機^[1]帳戶的工作環境。組策略提供了操作系統、應用程序和活動目錄中用戶設置的集中化管理和配置。組策略的其中一個版本名為本地組策略（縮寫「LGPO」或「LocalGPO」），這可以在獨立且非域的計算機上管理組策略對象。

操作

組策略在部分意義上是控制用戶可以或不能在計算機上做什麼，例如：施行密碼複雜性策略避免用戶選擇過於簡單的密碼，允許或阻止身份不明的用戶從遠程計算機連接到網絡共享，阻止訪問Windows任務管理器或限制訪問特定文件夾。這樣一套配置被稱為組策略對象（Group Policy Object，GPO）。

作為微軟IntelliMirror技術的一部分，組策略旨在減少用戶支持成本。IntelliMirror技術涉及已斷開機器或漫遊用戶的管理，並包括漫遊用戶配置文件、文件夾重定向和脫機文件。

施行

要完成一組計算機的中央管理目標，計算機應該接收和執行組策略對象。駐留在單台計算機上的組策略對象僅適用該台計算機。要應用一個組策略對象到一個計算機組，組策略依賴於活動目錄（或第三方產品，例如ZENworks Desktop Management）進行分發。活動目錄可以分發組策略對象到一個Windows域中的計算機。

默認情況下，Microsoft Windows每90分鐘刷新一次組策略，隨機偏移30分鐘。在域控制器^[2]上，Microsoft Windows每隔5分鐘刷新一次。在刷新時，它會發現、獲取和應用所有適用這台計算機和已登錄用戶的組策略對象。某些設置，例如自動化軟件安裝、驅動器映射、啟動腳本或登錄腳本，只在啟動或用戶登錄時應用。從Windows XP開始，用戶可以從命令行提示符使用gpupdate命令手動啟動組策略刷新。

組策略對象會按照以下順序（從上向下）處理：

1.本地-任何在本地計算機的設置。在Windows Vista之前，每台計算機只能有一份本地組策略。在Windows Vista和之後的Windows版本中，允許每個用戶帳戶分別擁有組策略。

2.站點-任何與計算機所在的活動目錄站點關聯的組策略。（活動目錄站點是旨在管理促進物理上接近的計算機的一種邏輯分組）。如果多個策略已鏈接到一個站點，將按照管理員設置的順序處理。

3.域-任何與計算機所在Windows域關聯的組策略。如果多個策略已鏈接到一個域，將按照管理員設置的順序處理。

4.組織單元-任何與計算機或用戶所在的活動目錄組織單元（OU）關聯的組策略。（OU是幫助組織和管理一組用戶、計算機或其他活動目錄對象的邏輯單元）。如果多個策略已鏈接到一個OU，將按照管理員設置的順序處理。

應用到指定計算機或用戶的組策略設置結果被稱為策略結果集（RSoP）。可以使用gpresult命令顯示計算機和用戶的RSoP信息。

繼承

組策略設置內部是一個分層結構，父傳子、子傳孫，以此類推，這被稱為「繼承」。它可以控制阻止或施行策略應用到每個層級。如果高級別的管理員創建了一個具有繼承性的策略，而低層級的管理員策略與此相悖，此策略仍將生效。

在組策略偏好設置已配置並且同等的組策略設置已配置時，組策略設置將會優先。

過濾

WMI過濾是組策略通過Windows管理規範（WMI）過濾器來選擇應用範圍的一個流程。過濾器允許管理員只應用組策略到特定情況，例如特定型號、內存、已安裝軟件或任何WMI可查詢條件的特定情況的計算機。

本地組策略

本地組策略（Local Group Policy，縮寫LGP或LocalGPO）是組策略的基礎版本，它面向獨立且非域的計算機。至少Windows XP家庭版中它就已經存在，並且可以應用到域計算機。在Windows Vista以前，LGP可以強制施行組策略對象到單台本地計算機，但不能將策略應用到用戶或組。從Windows Vista開始，LGP允許本地組策略管理單個用戶和組，並允許使用「GPO Packs」在獨立計算機之間備份、導入和導出組策略——組策略容器包含導入策略到目標計算機的所需文件。

組策略偏好

曾經有一批組策略設置擴展，它被稱為PolicyMaker。微軟購買了PolicyMaker並將其集成到Windows Server 2008。微軟之後發布了遷移工具，允許用戶遷移PolicyMaker設置項到組策略偏好。

組策略偏好添加了許多新的配置項。這些偏好中有大量的目標選項，可以用來精確控制要設置的應用程序。

組策略偏好兼容x86和x64版本的Windows XP、Windows Server 2003和Windows Vista加Client Side Extensions（也稱CSE）。

Client Side Extensions現已集成到Windows Server 2008、Windows 7和Windows Server 2008 R2。

組策略管理控制台

在最初，組策略是使用「組策略編輯」工具進行修改，它與活動目錄用戶和計算機的微軟管理控制台（MMC）插件集成，但後來它被分區成一個獨立的MMC插件，被稱為組策略管理控制台。組策略管理控制台是Windows Server 2008和Windows Server 2008 R2中的一個用戶組件，並在Windows Vista和Windows 7中作為一個「遠程服務器管理工具」可下載組件。

高級組策略管理

微軟發布過一個稱之為「高級組策略管理」（Advanced Group Policy Management）的工具來更改組策略。此工具可供任何微軟桌面優化包授權的組織使用。此高級工具允許管理員檢查/簽出組策略對象的更改，跟蹤組策略對象的變更，以及對組策略對象的更改實施審核工作流。

AGPM工具由兩個部分組成——服務器和客戶端。服務器是一個Windows服務，它在同一台計算機或網絡共享上的存檔位置存儲其組策略對象。客戶端是組策略管理控制台的一個插件，並連接到AGPM服務器。客戶端可通過組策略配置。

安全

組策略設置是由目標應用程序自願實施的。在許多情況下，這只是禁止訪問特定功能的用戶接口。

另外，惡意用戶可以修改或干擾應用程序，使其不能成功讀取組策略設置，從而實行更低或者默認的安全設置。

Windows 8增強

Windows 8引入了被稱為「組策略更新」的一個新功能。此功能允許管理員強制在特定組織單位的所有計算機帳戶上更新一個組策略。這會在計算機上創建一個計劃任務，在10分鐘內運行GPUPDATE命令，具體開始時間隨機調整，以免域控制器過載。

「組策略基礎設施狀態」已被引入，這可以報告任何「組策略對象」是否沒有正確複製域控制器。

「組策略結果報告」也是一個新功能，它會在執行「組策略更新」時執行。

參考文獻