Windows Server下的组策略技术研究
2020-12-21郭丽
摘 要 通常我们可以利用控制面板、注册表等来对系统、外观或网络等进行一些常用设置,但是需要每台机器都要进行重复性操作,如果是批量对若干台电脑进行设置,可以使用windows server系统自带的组策略工具。本文主要介绍windows server系统下的组策略技术。
关键词 windows server;组策略;网络
引言
统一的企业化管理通常需要对员工的电脑进行统一化配置。如配置相同的桌面背景、统一的安全性设置等。这些设置可以通过注册表来完成,但是需要每台机器都要进行重复性操作,并且修改注册表需要对注册表的键值有一定的了解,操作也不是特别方便。组策略是一组策略的集合,可以对域中的计算机和用户进行统一的管理,如对一组计算机设置统一的桌面背景、进行统一的安全性设置,或对一些软件进行强制安装等。
1组策略的工作原理
组策略应用在域环境当中。它的工作原理是,在域控制器上设置组策略后,域中所有的计算机和用户在开机或登录时就会自动联系域控制器,寻找相应的组策略,如果找到相应的策略,就会应用到计算机上。使用组策略可以给若干台计算机或者用户制定一套统一的策略,不用对每台电脑进行设置。组策略中每一个策略都和注册表中的某个键值是相对应的,应用组策略时,系统会根据设置自动修改注册表,从而达到系统环境改变的目的[1]。
2组策略的设置内容
组策略的设置内容有以下几类:安全性设置、脚本的设置、软件的安装设置、管理模板设置。安全性设置主要指账户策略、本地策略等的设置。脚本的设置包括登录与注销、启动与关机等脚本的设置。软件的安装设置包括自动为用户安装、修复、删除应用软件。管理模板设置主要是一些计算机环境设置,如隐藏用户桌面上所有的图标、在开始菜单中添加选项、文件夹重定向等[2]。
3组策略对象
组策略的设置数据保存在组策略对象中,组策略对象简称GPO,是Group Policy Object的缩写。GPO是组策略设置的集合。要设置组策略,必须先创建组策略对象。当我们在windows server系统下安装完活动目录域服务后,该计算机就自动升级为域控制器。系统会在域控制器中自动创建两个默认组策略对象,分别为Default Domain Policy(默认域GPO)和Default Domain Conrollers Policy(默认域控制器GPO)。默认域GPO中的策略影响域内的所有用户和计算机。而默认域控制器GPO只影响所有域控制器中的用户和计算机。除了两个默认组策略对象外,我们可以自定义组策略对象。
一个组策略对象的内容分为两部分:组策略容器GPC和和组策略模板GPT,GPC是Gourp Policy Container的缩写,GPT是 Group Policy Template的缩写。GPC主要用于记录组策略对象的属性和版本等信息。在域控制器中打开活动目录用户与计算机,在system的polices下有两个文件夹,里面分别存放着默认的域GPO和域控制器GPO的属性和版本信息。文件夹的名字代表组策略对象的唯一的ID值。例如,文件夹名为{31B2F340-016D-11D2-945F-00C04FB984F9}的组策略代表默认域GPO,而31B2F340-016D-11D2-945F-00C04FB984F9就是默认域GPO的ID。文件夹名为{6AC1786C-016F-11D2-945F- 00C04FB984F9}的組策略为默认域控制器GPO,而6AC1786C-016F-11D2-945F- 00C04FB984F9是默认域控制器GPO的ID值。
GPT 内容存储默认位置“%systemroot%\ SYSVOL\domain\Policies”下的sysvol文件夹中,存储组策略的具体设置,打开这个文件夹后,里面有两个文件夹,分别存放着两个默认的组策略的具体设置。当我们创建了自定义的组策略对象后,会自动生成一个名为该组策略ID的文件夹用来存放设置数据。
4组策略链接
GPO创建好后必须进行链接才能生效。GPO所链接的对象有:S(站点)D(域)OU(组织单元),简称SDOU。同一个GPO可以链接到多个站点、域或组织单元。一个站点、域或组织单元也可以链接多个GPO。GPO控制的对象有两种:计算机和用户。我们以默认域GPO为例看一下。可以看到域GPO中包含两部分设置,计算机设置和用户设置。
计算机配置用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。客户端计算机启动后在操作系统初始化以及系统检测周期内,没有登录到域之前生效。无论哪个用户登录到计算机,客户端计算机都将首先应用计算机配置策略。
用户配置用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。用户登录到域中时生效。无论用户登录哪一台计算机,都将应用同样的用户配置策略。
5结束语
组策略是一个强制管理计算机设置的方法。 优点是十分灵活,只需设置一次,相应的用户或计算机即可全部使用规定的设置,减少用户不正确配置环境的可能性,组策略的设置必须在域控制器上,组策略只能够管理计算机与用户,无法管理打印机、共享文件夹等其他对象。
参考文献
[1] 顾武雄.Active Directory组策略[J].网络安全和信息化,2020(4):58-59.
[2] 杨震,王路.浅谈Windows的组策略[J].甘肃农业,2006(2):226.
作者简介
郭丽(1981-),女,山东聊城市人;毕业院校:曲阜师范大学,专业:计算机应用,学历:研究生,现就职单位:北京信息职业技术学院,研究方向:计算机网络技术。