组策略
组策略(英語:Group Policy)是微软Windows NT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和Active Directory中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象。[1][2]
操作
[编辑]组策略在部分意义上是控制用户可以或不能在计算机上做什么,例如:施行密码复杂性策略避免用户选择过于简单的密码,允许或阻止身份不明的用户从远程计算机连接到网络共享,阻止访问Windows任务管理器或限制访问特定文件夹。这样一套配置被称为组策略对象(Group Policy Object,GPO)。
作为微软IntelliMirror技术的一部分,组策略旨在减少用户支持成本。IntelliMirror技术涉及已断开机器或漫游用户的管理,并包括漫游用户配置文件、文件夹重定向和脱机文件。
施行
[编辑]要完成一组计算机的中央管理目标,计算机应该接收和执行组策略对象。驻留在单台计算机上的组策略对象仅适用该台计算机。要应用一个组策略对象到一个计算机组,组策略依赖于Active Directory(或第三方产品,例如ZENworks Desktop Management)进行分发。Active Directory可以分发组策略对象到一个Windows域中的计算机。
默认情况下,系统每90分钟刷新一次组策略,随机偏移30分钟。在域控制器上,系统则每隔5分钟刷新一次。在刷新时,系统会发现、获取和应用所有适用这台计算机和已登录用户的组策略对象。某些设置,例如自动化软件安装、驱动器映射、启动脚本或登录脚本,只在启动或用户登录时应用。从Windows XP开始,用户可以从命令行提示符使用 gpupdate
命令手动启动组策略刷新。[3]
组策略对象会按照以下顺序(从上向下)处理:[4]
- 本地 - 任何在本地计算机的设置。在Windows Vista之前,每台计算机只能有一份本地组策略。在Windows Vista和之后的Windows版本中,允许每个用户帐户分别拥有组策略。[5]
- 站点 - 任何与计算机所在的Active Directory站点关联的组策略。(Active Directory站点是旨在管理促进物理上接近的计算机的一种逻辑分组)。如果多个策略已链接到一个站点,将按照管理员设置的顺序处理。
- 域 - 任何与计算机所在Windows域关联的组策略。如果多个策略已链接到一个域,将按照管理员设置的顺序处理。
- 组织单元 - 任何与计算机或用户所在的活动目录组织单元(OU)关联的组策略。(OU是帮助组织和管理一组用户、计算机或其他Active Directory对象的逻辑单元)。如果多个策略已链接到一个OU,将按照管理员设置的顺序处理。
应用到指定计算机或用户的组策略设置结果被称为策略结果集(RSoP)。可以使用 gpresult
命令显示计算机和用户的RSoP信息。[6]
继承
[编辑]组策略设置内部是一个分层结构,父传子、子传孙,以此类推,这被称为“继承”。它可以控制阻止或施行策略应用到每个层级。如果高级别的管理员创建了一个具有继承性的策略,而低层级的管理员策略与此相悖,此策略仍将生效。
在组策略偏好设置已配置并且同等的组策略设置已配置时,组策略设置将会优先。
过滤
[编辑]WMI过滤是组策略通过Windows管理规范(WMI)过滤器来选择应用范围的一个流程。过滤器允许管理员只应用组策略到特定情况,例如特定型号、内存、已安装软件或任何WMI可查询条件的特定情况的计算机。
本地组策略
[编辑]本地组策略(Local Group Policy,缩写LGP或LocalGPO)是组策略的基础版本,它面向独立且非域的计算机。在Windows Vista以前,LGP可以强制施行组策略对象到单台本地计算机,但不能将策略应用到用户或组。从Windows Vista开始,LGP允许本地组策略管理单个用户和组,[1]并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。[2]
组策略偏好
[编辑]曾经有一批组策略设置扩展,它被称为PolicyMaker。微软收购了PolicyMaker并将其整合到Windows Server 2008。微软之后发布了迁移工具,允许用户迁移PolicyMaker设置项到组策略偏好。[7]
组策略偏好添加了许多新的配置项。这些偏好中有大量的目标选项,可以用来精确控制要设置的应用程序。
组策略偏好兼容x86和x64版本的Windows XP、Windows Server 2003和Windows Vista加Client Side Extensions(也称CSE)。[8][9][10][11][12][13]
Client Side Extensions现已集成到Windows Server 2008、Windows 7和Windows Server 2008 R2。
组策略管理控制台
[编辑]在最初,组策略是使用“组策略编辑”工具进行修改,它与Active Directory用户和计算机的微软管理控制台(MMC)插件整合,但后来它被分割成一个独立的MMC插件,被称为组策略管理控制台。组策略管理控制台现在是Windows Server 2008和Windows Server 2008 R2中的一个用户组件,并在Windows Vista和Windows 7中作为一个“远程服务器管理工具”可下载组件。[14][15][16][17]
高级组策略管理
[编辑]微软发布过一个称之为“高级组策略管理”(Advanced Group Policy Management)的工具来更改组策略[18]。此工具可供任何微软桌面优化包授权的组织使用。此高级工具允许管理员检查/签出组策略对象的更改,跟踪组策略对象的变更,以及对组策略对象的更改实施审核工作流。
AGPM工具由两个部分组成——服务器和客户端。服务器是一个Windows服务,它在同一台计算机或网络共享上的存档位置存储其组策略对象。客户端是组策略管理控制台的一个插件,并连接到AGPM服务器。客户端可通过组策略配置。
安全
[编辑]组策略设置是由目标应用程序自愿实施的。在许多情况下,这只是禁止访问特定功能的用户接口。[19]
另外,恶意用户可以修改或干扰应用程序,使其不能成功读取组策略设置,从而实行更低或者默认的安全设置。[20]
Windows 8增强
[编辑]Windows 8引入了一个名为“组策略更新”的新功能。此功能允许管理员强制在特定组织单位的所有计算机帐户上更新一个组策略。这会在计算机上创建一个计划任务,在10分钟内运行GPUPDATE命令,具体开始时间随机调整,以免域控制器过载。
“组策略基础设施状态”已被引入,并可报告任何“组策略对象”是否没有正确复制域控制器。[21]
“组策略结果报告”也是一个新功能,它会在执行“组策略更新”时执行。[22]
参考资料
[编辑]- ^ 1.0 1.1 Step-by-Step Guide to Managing Multiple Local Group Policy Objects. [2016-06-12]. (原始内容存档于2020-07-22). 引用错误:带有name属性“LGPO”的
<ref>
标签用不同内容定义了多次 - ^ 2.0 2.1 存档副本. [2016-06-12]. (原始内容存档于2014-06-23). 引用错误:带有name属性“LGPO2”的
<ref>
标签用不同内容定义了多次 - ^ Gpupdate. [2016-06-12]. (原始内容存档于2018-02-03).
- ^ Group Policy processing and precedence. Microsoft Corporation. 22 April 2012 [2016-06-12]. (原始内容存档于2016-03-07).
- ^ Group Policy - Apply to a Specific User or Group - Windows 7 Forums. [2016-06-12]. (原始内容存档于2021-04-11).
- ^ Microsoft TechNet: Gpresult. [2016-06-12]. (原始内容存档于2017-08-26).
- ^ Group Policy Preference Migration Tool (GPPMIG) 互联网档案馆的存檔,存档日期2009-12-24.
- ^ Group Policy Preference Client Side Extensions for Windows XP (KB943729). [2016-06-12]. (原始内容存档于2010-09-04).
- ^ Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729). [2016-06-12]. (原始内容存档于2010-09-04).
- ^ Group Policy Preference Client Side Extensions for Windows Vista (KB943729). [2016-06-12]. (原始内容存档于2010-09-04).
- ^ Group Policy Preference Client Side Extensions for Windows Vista x64 Edition (KB943729). [2016-06-12]. (原始内容存档于2010-09-04).
- ^ Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729). [2016-06-12]. (原始内容存档于2010-09-04).
- ^ Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729). [2016-06-12]. (原始内容存档于2010-09-04).
- ^ Microsoft Group Policy Team. How to Install GPMC on Server 2008, 2008 R2, and Windows 7 (via RSAT). 2009-12-23 [2016-06-12]. (原始内容存档于2009-12-26).
- ^ Microsoft Remote Server Administration Tools for Windows Vista. [2016-06-12]. (原始内容存档于2010-09-01).
- ^ Microsoft Remote Server Administration Tools for Windows Vista for x64-based Systems. [2016-06-12]. (原始内容存档于2010-08-19).
- ^ Remote Server Administration Tools for Windows 7. [2016-06-12]. (原始内容存档于2011-11-28).
- ^ Microsoft Windows Enterprise | Enhancing Group Policy. [2016-06-12]. (原始内容存档于2011-10-06).
- ^ Raymond Chen, "Shell policy is not the same as security" (页面存档备份,存于互联网档案馆)
- ^ Mark Russinovich, "Circumventing Group Policy as a Limited User (页面存档备份,存于互联网档案馆)
- ^ Updated: What’s new with Group Policy in Windows 8. [2016-06-12]. (原始内容存档于2021-02-26).
- ^ Windows 8 Group Policy Performance Troubleshooting Feature. [2016-06-12]. (原始内容存档于2021-02-26).
拓展阅读
[编辑]- Group Policy for Beginners. Windows 7 Technical Library. Microsoft. 27 April 2011 [22 April 2012]. (原始内容存档于2017-08-26).
- Group Policy Management Console. Dev Center - Desktop. Microsoft. 3 February 2012 [22 April 2012]. (原始内容存档于2017-05-10).
- Step-by-Step Guide to Managing Multiple Local Group Policy Objects. Windows Vista Technical Library. Microsoft. [22 April 2012]. (原始内容存档于2017-08-26).
- Group Policy processing and precedence. Windows Server 2003 Product Help. Microsoft. 21 January 2005 [22 April 2012]. (原始内容存档于2016-03-07).
外部链接
[编辑]- 官方网站(英文)
- 组策略团队博客(英文)
- Windows和Windows Server的组策略设置参考资料 (页面存档备份,存于互联网档案馆)(英文)