關于Ｗｉｎｄｏｗｓ下組策略管理的討論

摘要：所謂策略（Policy），是Windows中的一種自動配置桌面設置的機制。所謂組策略（Group Policy），顧名思義，就是基于組的策略。它以Windows中的一個MMC管理單元的形式存在，可以幫助系統管理員針對整個計算機或是特定用戶來設置多種配置，包括桌面配置和安全配置。簡而言之，組策略是Windows中的一套系統更改和配置管理工具的集合。GPO（Group Policy Object）——組策略對象，實際上就是組策略設置的集合。組策略的設置結果是保存在GPO中的，本文對windows下的組策略管理進行了深入討論。

關鍵詞：組策略；MMC

中圖分類號：TP3 文獻標識碼：A文章編號：1009-3044(2008)31-1001-02

On the Windows of the Strategic Management Group under Discussion

LV Rui-xia

(West China Normal University， Nanchong 637002， China)

Abstract: The so-called strategy， is in a Windows desktop settings automatically configured mechanism. The so-called Group Policy (Group Policy)， as its name suggests， is based on the group's strategy. It was in a Windows MMC management unit in the form of existence， can help the system administrator for the entire computer or a specific user to set up a variety of configurations， including desktop configurations and security configuration. In short， the group policy in Windows is a system change and configuration management tool for the collection. GPO (Group Policy Object) in fact， a collection of group policy settings. Group Policy settings are stored in the results of the GPO. In this paper， under the windows of the strategic management group has conducted in-depth discussion.

Key words: strategy; MMC

1 引言

組策略實際上是一種功能，但是它必須在域已經搭建好了的前提下應用此功能。即在部署好AD的情況下才可經應用組策略。那么它究竟能幫助我們在windows下做什么呢？簡單地說它輕松地完成如下功能：網絡集中化管理；管理用戶環境；降低管理用戶的開銷；強制執行企業策略。

2 組策略概述

2.1 組策略的概念

注冊表是Windows系統中保存系統軟件和應用軟件配置的數據庫，而隨著Windows功能越來越豐富，注冊表里的配置項目也越來越多，很多配置都可以自定義設置，但這些配置分布在注冊表的各個角落，如果是手工配置，可以想像是多么困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達到方便管理計算機的目的。 其實簡單地說，組策略設置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。

2.2 組策略的組成

一般來說，在圖形界面下做的組策略稱之為組策略對象即GPO。而每一個組策略對象由兩部分構成：組策略容器（Group Policy Container）和組策略模板（Group Policy Template），但是它們存儲于不同的位置，組策略容器主要功能是保存組策略的版本，存放在活動目錄數據庫AD（Active Directory）中。組策略模板主要功能是保存在組策略中做的所有調整設置，存放在于C：盤的SYSVOL文件當中。所以在對組策略進行備份時可能只備份了其可見部分即GPT，而忽略了另一個部分GPC。從而在系統癱瘓時無法還原之前所做的全部調整設置。

2.3 組策略的應用范圍

在域環境下有三個級別的容器，它們分別是站點（Site）、域（Domain）和組織單元（OU），一般情況下，多數企業會有一個單域模型或雙域模型或多域模型。在域中我們也以用OU來管理用戶和計算機，這兩個容器都是我們比較熟悉的。但是什么是站點呢？舉個例子說明：某一公司有兩家分公司分別在北京和上海，在這種情況下，由于物理位置隔的太遠所以它們之間的物理鏈路一定會不可靠。這時就有必要建立兩個站點，在一個站點上建立一個域控制器（DC），這樣既能優化傳輸速度又能優化AD的復制流量。所以劃分站點必須是網絡模型很大且物理位置較遠較分散時才使用。那么組策略就能夠給站點、域、組織單元去做設置，且只能是這三種容器。當組策略設置完成后可能和站點鏈接，可能和域鏈接也可能和組織單元鏈接。但無論和哪一個容器鏈接，組策略就在哪個容器下升效。如圖1所示三種容器的關系圖。

2.4 組策略的邏輯錯誤

有時在DC(Domain Control)上設置好的組策略，但在客戶端或其他服務器端沒能實現。通常這樣的錯誤稱為邏輯錯誤。為什么會出現這樣的邏輯錯誤呢? 因為在不同的容器上設置組策略，組策略的應用范圍也不相同。當應用范圍發生重疊時，就容易產生組策略的邏輯錯誤。值得注意的是當組策略產生沖突時，OU的組策略設置覆蓋Domain的組策略設置;Domain的組策略設置覆蓋Site的組策略設置;Site的組策略設置覆蓋Local策略設置。在同一容器上多個組策略產生沖突時，排列在組策略列表中最上方的組策略的設置生效。

3 結束語

隨著網絡技術的不斷發展，網絡操作系統版本的不斷提升，微軟已經推出Windows server 2008。與此同時組策略功能也日益強大，仍然在網絡操作系統中占主導地位。可以作為評價一個網絡操作系統好壞的條件之一，除了以上的介紹分析外，實際上組策略還支持腳本語言（javascript、VBScript），腳本功能相當強大，可以這樣說，在DC上做的所有設置都可以用腳本實現，當然它只適合一些編程高手使用，而對初學都來說就相當困難了。總之，就個人而言，用腳本語言實現組策略是實現組策略運用的最高目標。

參考文獻:

[1] (美)Roger Jennings.Admin911:Windows 2000 Group Policy[M]. 5版. 電子工業出版社，2001.

[2] 張予倩，萬賢綱， 韓靜.SGI Origin 2000大型計算機管理模式與策略[J]. 實驗室研究與探索，2003，(2).

[3] 鄧立新.加強Windows Server 2003系統安全的思考[J]. 科技資訊，2005，(26).