跳至內容

組策略

本頁使用了標題或全文手工轉換
維基百科,自由的百科全書

組策略(英語:Group Policy)是微軟Windows NT家族操作系統的一個特性,它可以控制用戶帳戶和計算機帳戶的工作環境。組策略提供了操作系統、應用程序和Active Directory中用戶設置的集中化管理和配置。組策略的其中一個版本名為本地組策略(縮寫「LGPO」或「LocalGPO」),這可以在獨立且非英語Windows domain的計算機上管理組策略對象。[1][2]

操作

組策略在部分意義上是控制用戶可以或不能在計算機上做什麼,例如:施行密碼複雜性策略避免用戶選擇過於簡單的密碼,允許或阻止身份不明的用戶從遠程計算機連接到網絡共享,阻止訪問Windows任務管理器或限制訪問特定文件夾。這樣一套配置被稱為組策略對象(Group Policy Object,GPO)。

作為微軟IntelliMirror技術的一部分,組策略旨在減少用戶支持成本。IntelliMirror技術涉及已斷開機器或漫遊用戶的管理,並包括漫遊用戶配置文件、文件夾重定向和脫機文件。

施行

要完成一組計算機的中央管理目標,計算機應該接收和執行組策略對象。駐留在單台計算機上的組策略對象僅適用該台計算機。要應用一個組策略對象到一個計算機組,組策略依賴於Active Directory(或第三方產品,例如ZENworks Desktop Management)進行分發。Active Directory可以分發組策略對象到一個Windows域中的計算機。

默認情況下,系統每90分鐘刷新一次組策略,隨機偏移30分鐘。在域控制器上,系統則每隔5分鐘刷新一次。在刷新時,系統會發現、獲取和應用所有適用這台計算機和已登錄用戶的組策略對象。某些設置,例如自動化軟件安裝、驅動器映射、啟動腳本或登錄腳本,只在啟動或用戶登錄時應用。從Windows XP開始,用戶可以從命令行提示符使用 gpupdate 命令手動啟動組策略刷新。[3]

組策略對象會按照以下順序(從上向下)處理:[4]

  1. 本地 - 任何在本地計算機的設置。在Windows Vista之前,每台計算機只能有一份本地組策略。在Windows Vista和之後的Windows版本中,允許每個用戶帳戶分別擁有組策略。[5]
  2. 站點 - 任何與計算機所在的Active Directory站點關聯的組策略。(Active Directory站點是旨在管理促進物理上接近的計算機的一種邏輯分組)。如果多個策略已鏈接到一個站點,將按照管理員設置的順序處理。
  3. - 任何與計算機所在Windows域關聯的組策略。如果多個策略已鏈接到一個域,將按照管理員設置的順序處理。
  4. 組織單元 - 任何與計算機或用戶所在的活動目錄組織單元(OU)關聯的組策略。(OU是幫助組織和管理一組用戶、計算機或其他Active Directory對象的邏輯單元)。如果多個策略已鏈接到一個OU,將按照管理員設置的順序處理。

應用到指定計算機或用戶的組策略設置結果被稱為策略結果集(RSoP)。可以使用 gpresult 命令顯示計算機和用戶的RSoP信息。[6]

繼承

組策略設置內部是一個分層結構,父傳子、子傳孫,以此類推,這被稱為「繼承」。它可以控制阻止或施行策略應用到每個層級。如果高級別的管理員創建了一個具有繼承性的策略,而低層級的管理員策略與此相悖,此策略仍將生效。

在組策略偏好設置已配置並且同等的組策略設置已配置時,組策略設置將會優先。

過濾

WMI過濾是組策略通過Windows管理規範(WMI)過濾器來選擇應用範圍的一個流程。過濾器允許管理員只應用組策略到特定情況,例如特定型號、內存、已安裝軟件或任何WMI可查詢條件的特定情況的計算機。

本地組策略

本地組策略(Local Group Policy,縮寫LGP或LocalGPO)是組策略的基礎版本,它面向獨立且非域的計算機。在Windows Vista以前,LGP可以強制施行組策略對象到單台本地計算機,但不能將策略應用到用戶或組。從Windows Vista開始,LGP允許本地組策略管理單個用戶和組,[1]並允許使用「GPO Packs」在獨立計算機之間備份、導入和導出組策略——組策略容器包含導入策略到目標計算機的所需文件。[2]

組策略偏好

曾經有一批組策略設置擴展,它被稱為PolicyMaker。微軟收購了PolicyMaker並將其整合到Windows Server 2008。微軟之後發布了遷移工具,允許用戶遷移PolicyMaker設置項到組策略偏好。[7]

組策略偏好添加了許多新的配置項。這些偏好中有大量的目標選項,可以用來精確控制要設置的應用程序。

組策略偏好兼容x86和x64版本的Windows XP、Windows Server 2003和Windows Vista加Client Side Extensions(也稱CSE)。[8][9][10][11][12][13]

Client Side Extensions現已集成到Windows Server 2008Windows 7Windows Server 2008 R2

組策略管理控制台

在最初,組策略是使用「組策略編輯」工具進行修改,它與Active Directory用戶和計算機的微軟管理控制台(MMC)插件整合,但後來它被分割成一個獨立的MMC插件,被稱為組策略管理控制台。組策略管理控制台現在是Windows Server 2008Windows Server 2008 R2中的一個用戶組件,並在Windows VistaWindows 7中作為一個「遠程服務器管理工具」可下載組件。[14][15][16][17]

高級組策略管理

微軟發布過一個稱之為「高級組策略管理」(Advanced Group Policy Management)的工具來更改組策略[18]。此工具可供任何微軟桌面優化包授權的組織使用。此高級工具允許管理員檢查/簽出組策略對象的更改,跟蹤組策略對象的變更,以及對組策略對象的更改實施審核工作流。

AGPM工具由兩個部分組成——服務器和客戶端。服務器是一個Windows服務,它在同一台計算機或網絡共享上的存檔位置存儲其組策略對象。客戶端是組策略管理控制台的一個插件,並連接到AGPM服務器。客戶端可通過組策略配置。

安全

組策略設置是由目標應用程序自願實施的。在許多情況下,這只是禁止訪問特定功能的用戶接口。[19]

另外,惡意用戶可以修改或干擾應用程序,使其不能成功讀取組策略設置,從而實行更低或者默認的安全設置。[20]

Windows 8增強

Windows 8引入了一個名為「組策略更新」的新功能。此功能允許管理員強制在特定組織單位的所有計算機帳戶上更新一個組策略。這會在計算機上創建一個計劃任務,在10分鐘內運行GPUPDATE命令,具體開始時間隨機調整,以免域控制器過載。

「組策略基礎設施狀態」已被引入,並可報告任何「組策略對象」是否沒有正確複製域控制器。[21]

「組策略結果報告」也是一個新功能,它會在執行「組策略更新」時執行。[22]

參考資料

  1. ^ 1.0 1.1 Step-by-Step Guide to Managing Multiple Local Group Policy Objects. [2016-06-12]. (原始內容存檔於2020-07-22).  引用錯誤:帶有name屬性「LGPO」的<ref>標籤用不同內容定義了多次
  2. ^ 2.0 2.1 存档副本. [2016-06-12]. (原始內容存檔於2014-06-23).  引用錯誤:帶有name屬性「LGPO2」的<ref>標籤用不同內容定義了多次
  3. ^ Gpupdate. [2016-06-12]. (原始內容存檔於2018-02-03). 
  4. ^ Group Policy processing and precedence. Microsoft Corporation. 22 April 2012 [2016-06-12]. (原始內容存檔於2016-03-07). 
  5. ^ Group Policy - Apply to a Specific User or Group - Windows 7 Forums. [2016-06-12]. (原始內容存檔於2021-04-11). 
  6. ^ Microsoft TechNet: Gpresult. [2016-06-12]. (原始內容存檔於2017-08-26). 
  7. ^ Group Policy Preference Migration Tool (GPPMIG) 網際網路檔案館存檔,存檔日期2009-12-24.
  8. ^ Group Policy Preference Client Side Extensions for Windows XP (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04). 
  9. ^ Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04). 
  10. ^ Group Policy Preference Client Side Extensions for Windows Vista (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04). 
  11. ^ Group Policy Preference Client Side Extensions for Windows Vista x64 Edition (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04). 
  12. ^ Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04). 
  13. ^ Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04). 
  14. ^ Microsoft Group Policy Team. How to Install GPMC on Server 2008, 2008 R2, and Windows 7 (via RSAT). 2009-12-23 [2016-06-12]. (原始內容存檔於2009-12-26). 
  15. ^ Microsoft Remote Server Administration Tools for Windows Vista. [2016-06-12]. (原始內容存檔於2010-09-01). 
  16. ^ Microsoft Remote Server Administration Tools for Windows Vista for x64-based Systems. [2016-06-12]. (原始內容存檔於2010-08-19). 
  17. ^ Remote Server Administration Tools for Windows 7. [2016-06-12]. (原始內容存檔於2011-11-28). 
  18. ^ Microsoft Windows Enterprise | Enhancing Group Policy. [2016-06-12]. (原始內容存檔於2011-10-06). 
  19. ^ Raymond Chen, "Shell policy is not the same as security"頁面存檔備份,存於網際網路檔案館
  20. ^ Mark Russinovich, "Circumventing Group Policy as a Limited User頁面存檔備份,存於網際網路檔案館
  21. ^ Updated: What’s new with Group Policy in Windows 8. [2016-06-12]. (原始內容存檔於2021-02-26). 
  22. ^ Windows 8 Group Policy Performance Troubleshooting Feature. [2016-06-12]. (原始內容存檔於2021-02-26). 

拓展閱讀

  1. Group Policy for Beginners. Windows 7 Technical Library. Microsoft. 27 April 2011 [22 April 2012]. (原始內容存檔於2017-08-26). 
  2. Group Policy Management Console. Dev Center - Desktop. Microsoft. 3 February 2012 [22 April 2012]. (原始內容存檔於2017-05-10). 
  3. Step-by-Step Guide to Managing Multiple Local Group Policy Objects. Windows Vista Technical Library. Microsoft. [22 April 2012]. (原始內容存檔於2017-08-26). 
  4. Group Policy processing and precedence. Windows Server 2003 Product Help. Microsoft. 21 January 2005 [22 April 2012]. (原始內容存檔於2016-03-07). 

外部連結

取自「https://zh.wikipedia.org/w/index.php?title=组策略&oldid=77946832