(广东省水利电力勘测设计研究院510635)
摘要:Windows组策略提供了在网络中对用户及计算机的管理控制,使用组策略我们可以对用户工作环境状态只定义一次,然后靠系统实施管理员定义的策略,对用户和计算机进行管理。在Windows域环境中,为了提高Windows域管理人员的工作效率,可以通过组策略的应用,对Windows域环境中的用户和计算机的工作环境进行管理,达到对多台客户机的统一配置。本文主要分析了Windows组策略的作用、结构及应用对象,明确组策略的应用规则。通过实例阐述组策略在Windows域管理中的应用。
关键词:组策略;活动目录;组策略对象;Windows域;
0引言
组策略是Windows2000及以后版本中新增加的功能,在Windows域环境中组策略为网络管理员提供了一个很好的网络管理平台,提高了网络管理的效率与安全性。管理员可以通过组策略的设计实现对AD中的用户和计算机工作环境的统一配置。
1组策略的概念
“组策略”是计算机管理员设计的通过活动目录数据库在站点、域或组织单位中管理控制用户和计算机的一组策略的集合。(1)组策略的作用。在Windows域环境中,管理员应用组策略可以达到统一管理AD中的计算机和用户的桌面环境、计算机启动/关机与用户登录/注销时所执行的脚本文件、软件安装、安全设置等。组策略的设置即可以影响整个域的工作环境,又是可以影响相应的OU的工作环境。不但能降低布置用户和计算机环境的总费用,而且减少用户错误配置环境的可能性。(2)组策略的结构。组策略由两部分构成。一个是默认GPO。它包含两个策略,一个是默认域策略(DDP),它可以影响域中所有的用户和计算机;GPO的组件存储在两个位置,即GPC和GPT。另一个是默认域控制策略(DDCP)它可以影响组织单位“DomainControllers"中所有的用户和计算机。(3)组策略包含的对象。组策略中包含计算机配置和用户配置两个对象。它们都包含策略和首选项两个部分。其中策略中都有三个选项即软件设置、WINDOWS设置和管理模板。设置计算机配置后需重新启动计算机才能生效,而用户配置则是用户重新登录后生效。
2组策略应用的规则
(1)继承与阻止继承。继承是下层容器组策略在Windows域管理中的应用文/段秀丽在Windows域环境中,为了提高Windows域管理人员的工作效率,可以通过组策略的应用,对Windows域环境中的用户和计算机的工作环境进行管理,达到对多台客户机的统一配置。本文主要分析了Windows组策略的作用、结构及应用对象,明确组策略的应用规则。通过实例阐述组策略在Windows域管理中的应用。摘要会继承来自上层容器的GPO,但是子容器也可以阻止继承上层容器的组策略。例如:域配置了一个GPO,则它下面的一个OU就会继承这个GPO,也可以在OU上设置阻止继承域上的GPO。(2)累加。假设将域“benet.com”链接到组策略对象a,将组织单位“Sales-ou”连接到组策略对象b,则组织单位“Sales-OU”会同时应用a和b这两个组策略对象。也就是当容器中设置的多个组策略不冲突时,最终的有效策略是所有组策略的累加。(3)应用顺序。每台运行Windows2000/XP/2003/2008的计算机都只有一个本地组策略对象,在应用组策略时,如果在计算机工作组环境中,将应用本地组策略对象;如果计算机加入域中,则应用域组策略对象。同时组策略的应用还受到站点、OU的影响。(4)强制生效。下级容器可以对上级容器的GPO采用阻止继承的操作,或者下级容器设置一个与上级容器相冲突的GPO,从而使得上级GPO不能生效。为了实现统一管理,就会使用到强制生效。“强制生效”会覆盖“阻止继承”设置,这也成为了网络管理员对网络进行统一管理的一种方法。
3组策略在Windows域管理中的应用
下面以Windowsserver2008域控制器为例,介绍组策略在Windows域管理中的应用。网络管理员在布置域中的软件时,经常会遇到要在很多台计算机上对同一软件进行安装、修复、卸载和升级操作。如果在每台计算机上重复这些操作,工作量大而且容易出错,那么我们通过设置组策略,可以实现容器下所有用户和计算机的软件管理,有效地提升软件部署效率。使用组策略管理软件可以分为以下四个阶段。
(1)准备软件。管理员在进行软件部署前,首先要获取Windows安装程序包文件,安装程序包文件中包含一个.msi文件,以及必要的相关安装文件;其次管理员要在分发软件的服务器上创建一个分发点,以管理员的身份登录到服务器上,创建一个共享文件夹,将要安装程序包文件存入共享文件夹中,并设置相应的访问权限以允许用户访问该文件夹;最后创建或修改GPO。(2)部署软件。管理员可以利用GPO设置软件分发策略,把软件快速地安装到域中指定的计算机上或特定用户登录的计算机上。(3)管理软件。当管理员发现分发的软件有升级版或发布软件的新补丁时,可以把软件的升级包或补丁设置到组策略的软件设置中。通过管理员的设置,用户可以强制升级或者可选升级。管理员可以针对原分发点上的受损文件进行修复,重新部署。(4)删除软件。管理员可以将不再需要分发的软件通过GPO删除,这样管理员能够方便地管理域中的用户和计算机,提高了工作效率,减少了工作负荷。需要注意的是在软件分发时,分配和发布两种软件分发方式的区别。分配可以将软件分发到用户或计算机。分配给用户,用户登录到计算机就安装程序;分配给计算机,启动时安装程序。发布则只分发给用户,发布的程序存储在计算机中,用户使用时再进行安装。分配软件比发布软件更具有强制性。
软件安装实例:管理员要部署给公司所有用户一个允许用户扫描一台或多台基于Windows的计算机的应用程序MBSA,以便用户快速发现在计算机安全方面常见的配置错误,并及时通过推荐的安全更新进行修补。
在域控制器上打开“组策略管理”控制台,创建并链接组策略assign-mbsa;选中组策略assign-mbsa,单击“编辑”,在左侧的树型目录窗口中打开“用户配置”\策略\软件设置,右击“软件安装”,选择“属性”设置“默认程序数据包位置”,单击“应用”按钮,右击“软件安装”,选择“新建”\“数据包”,选择相应的MBSASetup2.0.msi文件,然后在“部署软件”页面中将“选择布置方式”设置“已分配”,右击“MicrosoftBaselineSecurityAnalyzer2.0.1”,在“MicrosoftBaselineSecurityAnalyzer2.0.1”属性中选择“在登录中安装此应用程序”。
管理员还可以利用组策略对域中用户的计算机的桌面进行统一背景、图标、安全信息的设置;还可以个性化“任务栏”和“开始”菜单等设置。可见,Windows域组策略为网络管理员提供了强大的管理功能,简化了管理工作,实现了计算机的安全设置,对整个网络中的计算机和用户实施了统一的环境定制。随着操作系统的不断更新和升级,开发和完善组策略的功能也将是我们计算机工作者的一项新课题。
参考文献
[1]北大青鸟编.BENET网络工程师认证课程[M].北京:科技文献出版社,2009(11).
[2]王淑江.Windows2000/XP/2003组策略实战指南[M].北京:人民邮电出版社,2006(7).