Windows Server下的組策略技術研究

摘 要 通常我們可以利用控制面板、注冊表等來對系統、外觀或網絡等進行一些常用設置，但是需要每臺機器都要進行重復性操作，如果是批量對若干臺電腦進行設置，可以使用windows server系統自帶的組策略工具。本文主要介紹windows server系統下的組策略技術。

關鍵詞 windows server;組策略;網絡

引言

統一的企業化管理通常需要對員工的電腦進行統一化配置。如配置相同的桌面背景、統一的安全性設置等。這些設置可以通過注冊表來完成，但是需要每臺機器都要進行重復性操作，并且修改注冊表需要對注冊表的鍵值有一定的了解，操作也不是特別方便。組策略是一組策略的集合，可以對域中的計算機和用戶進行統一的管理，如對一組計算機設置統一的桌面背景、進行統一的安全性設置，或對一些軟件進行強制安裝等。

1組策略的工作原理

組策略應用在域環境當中。它的工作原理是，在域控制器上設置組策略后，域中所有的計算機和用戶在開機或登錄時就會自動聯系域控制器，尋找相應的組策略，如果找到相應的策略，就會應用到計算機上。使用組策略可以給若干臺計算機或者用戶制定一套統一的策略，不用對每臺電腦進行設置。組策略中每一個策略都和注冊表中的某個鍵值是相對應的，應用組策略時，系統會根據設置自動修改注冊表，從而達到系統環境改變的目的[1]。

2組策略的設置內容

組策略的設置內容有以下幾類：安全性設置、腳本的設置、軟件的安裝設置、管理模板設置。安全性設置主要指賬戶策略、本地策略等的設置。腳本的設置包括登錄與注銷、啟動與關機等腳本的設置。軟件的安裝設置包括自動為用戶安裝、修復、刪除應用軟件。管理模板設置主要是一些計算機環境設置，如隱藏用戶桌面上所有的圖標、在開始菜單中添加選項、文件夾重定向等[2]。

3組策略對象

組策略的設置數據保存在組策略對象中，組策略對象簡稱GPO，是Group Policy Object的縮寫。GPO是組策略設置的集合。要設置組策略，必須先創建組策略對象。當我們在windows server系統下安裝完活動目錄域服務后，該計算機就自動升級為域控制器。系統會在域控制器中自動創建兩個默認組策略對象，分別為Default Domain Policy（默認域GPO）和Default Domain Conrollers Policy（默認域控制器GPO）。默認域GPO中的策略影響域內的所有用戶和計算機。而默認域控制器GPO只影響所有域控制器中的用戶和計算機。除了兩個默認組策略對象外，我們可以自定義組策略對象。

一個組策略對象的內容分為兩部分：組策略容器GPC和和組策略模板GPT，GPC是Gourp Policy Container的縮寫，GPT是 Group Policy Template的縮寫。GPC主要用于記錄組策略對象的屬性和版本等信息。在域控制器中打開活動目錄用戶與計算機，在system的polices下有兩個文件夾，里面分別存放著默認的域GPO和域控制器GPO的屬性和版本信息。文件夾的名字代表組策略對象的唯一的ID值。例如，文件夾名為{31B2F340-016D-11D2-945F-00C04FB984F9}的組策略代表默認域GPO，而31B2F340-016D-11D2-945F-00C04FB984F9就是默認域GPO的ID。文件夾名為{6AC1786C-016F-11D2-945F- 00C04FB984F9}的組策略為默認域控制器GPO，而6AC1786C-016F-11D2-945F- 00C04FB984F9是默認域控制器GPO的ID值。

GPT 內容存儲默認位置“%systemroot%＼ SYSVOL＼domain＼Policies”下的sysvol文件夾中，存儲組策略的具體設置，打開這個文件夾后，里面有兩個文件夾，分別存放著兩個默認的組策略的具體設置。當我們創建了自定義的組策略對象后，會自動生成一個名為該組策略ID的文件夾用來存放設置數據。

4組策略鏈接

GPO創建好后必須進行鏈接才能生效。GPO所鏈接的對象有：S（站點）D（域）OU（組織單元），簡稱SDOU。同一個GPO可以鏈接到多個站點、域或組織單元。一個站點、域或組織單元也可以鏈接多個GPO。GPO控制的對象有兩種：計算機和用戶。我們以默認域GPO為例看一下。可以看到域GPO中包含兩部分設置，計算機設置和用戶設置。

計算機配置用于管理控制計算機特定項目的策略。包括桌面外觀、安全設置、操作系統下運行、文件部署、應用程序分配和計算機啟動和關機腳本運行。客戶端計算機啟動后在操作系統初始化以及系統檢測周期內，沒有登錄到域之前生效。無論哪個用戶登錄到計算機，客戶端計算機都將首先應用計算機配置策略。

用戶配置用于管理控制更多用戶特定項目的管理策略。包括應用程序配置、桌面配置、應用程序分配和計算機啟動和關機腳本運行等。用戶登錄到域中時生效。無論用戶登錄哪一臺計算機，都將應用同樣的用戶配置策略。

5結束語

組策略是一個強制管理計算機設置的方法。 優點是十分靈活，只需設置一次，相應的用戶或計算機即可全部使用規定的設置，減少用戶不正確配置環境的可能性，組策略的設置必須在域控制器上，組策略只能夠管理計算機與用戶，無法管理打印機、共享文件夾等其他對象。

參考文獻

[1] 顧武雄.Active Directory組策略[J].網絡安全和信息化，2020（4）：58-59.

[2] 楊震，王路.淺談Windows的組策略[J].甘肅農業，2006（2）：226.

作者簡介

郭麗（1981-），女，山東聊城市人;畢業院校：曲阜師范大學，專業：計算機應用，學歷：研究生，現就職單位：北京信息職業技術學院，研究方向：計算機網絡技術。