返回
windows 2000中的组策略简介

windows 2000中的组策略简介

ID:9670164

大小:51.50 KB

页数:3页

时间:2018-05-05

windows 2000中的组策略简介_第1页
windows 2000中的组策略简介_第2页
windows 2000中的组策略简介_第3页
资源描述:

《windows 2000中的组策略简介》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Windows2000中的组策略简介  对台式机配置更详尽的控制  组策略是MC控制台中选择GPE插件,并选择本地或远程计算机来人工地编辑本地GPO。  本地GPO支持除软件安装和文件夹重定向之外的所有缺省扩展,因此,只利用本地GPO你不能完成这些工作,如果想充分发挥GPO的功能,还是需要AD的支持。  GPO的多样性和继承  在AD中,可以在域、组织单位(OU)或地址三个不同的层次上定义GPO。OU是AD中的一个容器,可以指派它对用户、组、计算机等对象进行管理,地址是网络上子网的集合,地址形成了AD的复制分界线。GPO的名字空间被划分为计算机配置和用户配置两个大类

2、,只有用户和计算机可以使用GPO,象打印机对象甚至用户组都不能应用GPO。  在一个域或组织单位(OU)中编辑策略的途径有几种。在活动目录用户或计算机MMC插件中,右击一个域或组织单位(OU),在菜单中选择属性,然后选择组策略标签。在编辑地址中的策略时,需要右击活动目录地址和服务插件,然后右击需要的地址得到其GPO。此外,还可以从开始菜单,选择运行,然后键入:  mmc.exe  启动MMC,选择控制台,增加/删除插件,然后选择组策略插件、浏览,在AD域内的GPO就会显示出来,可以选择一个GPO进行编辑。  根据GPO在AD名字空间中的不同位置,可以有几个GPO对用

3、户对象或计算机对象起作用。只有域中的其他对象是通过继承生成时GPO才是通过继承生成的。MC工具,右击pilot域名,从菜单中选择属性项,然后选择组策略标签。在这个列表顶端的GPO(例如域范围的安全策略)有最高的优先权,因此,Win2K最后才会执行它。除了本地系统外,可以在每个层次上定义几个GPO,因此如果不能严格地管理GPO,就会出现不必要的问题。  GPO的继承模型与Novell公司的Zenworks策略方式截然不同。在Zenworks中,如果在Novell目录服务(NDS)树上的不同点使用多个策略包,只有距离用户对象最近的策略包才起作用。在Win2K中,如果在A

4、D的不同层次上定义四个GPO,操作系统使用LSDOU优先顺序来执行这些策略,对计算机或用户的作用是这四个策略执行的和。此外,有时在一个GPO中的设置会被其他GPO中的设置抵销。通过AD级GPO,用户可以拥有更多的策略控制委托,例如,公司的安全部门负责在域一级上设计用于所有系统设备的安全GPO。通过使用GPO,可以让某个OU的系统管理员拥有在OU上安装软件的权利。在Zenworks模型中,必须在希望使用策略的所有层次上复制这些策略,而且策略对用户或计算机对象的作用并非是所有策略的和。  为了进一步地控制GPO,微软提供了三种设置来限制GPO继承的复杂性。在地址、域、O

5、U三个层次上用户都可以通过选择一个检查框阻止从更高一个层次上进行继承,同样,在每一个层次上,用户可以选择缺省的域策略选项,方法是打开活动目录用户和计算机插件,右击GPO所在的域或OU,从菜单中选择属性,然后12下一页——感谢阅读这篇文章,..,选择组策略标签。让你希望修改的项目变亮,然后选择选项按钮,可供选择的选项有不覆盖或禁止。如果选择了不覆盖选项,即使选择了不能继承的检查框,该GPO还是会起作用。如果想在任何一个地方执行一个GPO时,这一功能就很有用处。如果一个OU的管理员试图阻止对安全策略的继承,包含安全策略的GPO仍然会被系统执行。禁止检查框可以完全禁止一个

6、GPO执行,这一功能在你对一个GPO进行编辑而不想让其他的用户执行它时特别有效。  GPO的执行和过滤  只有用户和计算机对象才能执行组策略。在计算机的启动和关闭时,MC中GPO的名字,选择属性,然后再选择安全,就可以看到GPO目前的安全设置。认证用户组具有应用组策略权利,从而附属这一GPO的所有用户可以执行它。在MC菜单中选择高级属性,就可以看到系统容器。GPT是组策略在Win2K文件系统中的表现,与一个GPO有关的所有文件依赖于GPT。  GPO带来的难题  虽然GPO的功能很强大,但要掌握它可不容易。最难掌握的是如何判断一条有效的策略如何对域中的计算机或用户起

7、作用,由于GPO可以存在于AD链中不同的层次上,这种判断就特别困难。同时,由于可以指派一个GPO的控制,因此不大容易清楚其他的GPO是否会对你没有控制权的容器中的GPO有影响。因此,计算一个计算机或用户对象接收的策略的结果集(RSoP)是相当困难的。尽管微软还没有提供计算RSoP的工具,但已经有第三方厂商提供了相应的计算RSoP的工具。  另一个难题是策略的执行。如果在AD链上的许多层次上都存在有GPO,在用户每次登录或系统启动时都会执行所有的GPO。在Win2K系统中,微软推出了一些新的功能来优化系统的性能。首先,GPO的版本信息依赖于工作站和GPO,如果GP

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。