随笔-12  评论-18  文章-1  trackbacks-0
组策略可实现如下的功能:
    软件分发,IE维护,脱机文件夹管理,安全设置,漫游配置文件夹重定向,基于注册表的设置,计算机和用户脚本,软件限制(2003)
   在安装域环境时,系统会自动生成两个组策略文件,一个是域控制器策略,这个策略会影响域内所有的DC,另一个是域策略,这处将影响所有的域内计算机.这两个策略一般情况下,我们是推荐去对其进行修改,更不应该删除,一旦你对其进行了修改或删除了,需要恢复.必须使用运用的命令才行.在WIN2003里,用DCGPOFIX命令修复.而在2000里,是没有自带的命令的,要进行修复,必须到微软网站下载recreatedepol这条命令才行.所以大家在使用时,最好不要去修改默认的组策略.
下面我们来谈谈组策略的存储,在AD里存储的每一个数据都是一个对象.组策略也是一个对象,我们就叫它GPO,它分两部份进行存储的.一部份叫组策略模板(GPT),它存储在DC的共享文件SYSVOL目录下,主要保存的是对组策略的设置.另一部份叫组策略容器(GPC),它保存在AD数据库里,主要存放的是每条组策略的版本,状态和属性方面的信息.
组策略为两部份,那它又是怎样进行应用的.当域内的机器启动时,它会读取每个组策略对象的版本信息,如果版本高了,就会去SYSVOL里读取设置,首先应用的是计算机设置,如启动脚本,然后再运行用户配置,如登录脚本.如果在这里计算机与用户策略相冲突,我们会保留计算机的设置,而忽略用户的设置.这是在同一个组策略对象里,是这样的.但如果在一个容器里有多个GPO,那又该如何去应用的呢.在这里我们遵循的是由下至上,也就是说位置在上面的是最后被应用,也就是以最高的位置上的GPO设置为准.这一点,我想大家应该能够明白,位置越高级别就越高.刚才我们谈到是在同一个容器里的多个GPO,下面我们接着谈谈在子容器,子OU里,设置又是如何被应用的呢.学过编程的人应该都知道,什么叫递归,就是父的东西会被应用到子里面.这就是继承,当然,子容器继承了,当然会有它自己的特定设置.说到这里,大家应该能明白,子容器里的是会覆盖了父容器里的设置,这是默认情况,但有一种情况,比如,父容器的管理员想强制应用一些安全方面的设置,但这些设置在子容器里又被重新设置了.按照默认的话,这些子容器的设置会生效.这当然是父容器所不愿看到的,所以我们可以为每个GPO设置拒绝覆盖.这样子容器就不能盖掉父容器的设置了.但是,如果子容器的管理员有更好的组策略设置,我们又该如何处理呢.有一条阻止覆盖.另外你还可选择应用计算机或者用户策略.谈了上面这些特殊的关系后,我们再来谈谈组策略的执行顺序SDOU:
首先,执行的是本地策略,然后是站点(SITE),接下来是域(DOMAIN),最后是组织单元(OU).我们可以把一个GPO应用到多个OU,也可以在一个OU上应用多个GPO.在这种情况下,我们怎么样知道一个对象上应用了哪些GPO呢,这里必须用到ADSIEDIT.MSC,在里面找到相应的对象,在对象上有一个GPLINK的属性,可以查到应用了哪些GPO.
    满足了上面GPO应用的顺序,但还必须满足下面的两个条件才能将GPO应用到组策略上面:
   1 .被应用的计算机或者用户必须是位于GPO所链接的SDOU内
   2.被应用的对象必须同时具有读取和应用组策略的权限.
在2003中,可以使用软件限制策略如*QQ*,这样所有含有QQ字样的程序都无法运行
posted on 2006-08-11 10:55 3W网络 阅读(630) 评论(0)  编辑 收藏 引用 所属分类: Microsoft Active Directory
只有注册用户登录后才能发表评论。