Microsoft Corporation
发布日期:2000 年 11 月
摘要
本文介绍了如何设计“组策略对象”(GPO) 结构以及如何将它与 Microsoft® Windows® 2000 Active Directory™ 服务集成起来。本文是针对系统管理员的一篇介绍性文章。
致谢
John Kaiser,技术编辑,Microsoft Corporation
引言
在 Windows® 2000 操作系统中,您(系统管理员)使用“组策略”为用户和计算机组定义用户和计算机配置。您通过使用“组策略”Microsoft 管理控制台 (MMC) 管理单元为特定用户和计算机组创建具体的桌面配置。所创建的“组策略”配置包含在一个“组策略对象”(GPO) 中,该对象转而又与选定的 Active Directory™ 服务容器如站点、域或组织单位 (OU) 等关联。
使用“组策略”管理单元,您可以指定下列各项的策略设置:
- 基于注册表的策略。包括 Windows 2000 操作系统及其组件以及应用程序的组策略。要管理这些设置,您可以使用“组策略”管理单元的“管理模板”节点。
- 安全性选项。 包括针对本地计算机、域和网络安全设置的选项。
- 软件安装和维护选项。用来集中管理应用程序的安装、更新和删除。
- 脚本选项。 包括用于计算机启动和关闭,以及用户登录和注销的脚本。
- 文件夹重定向选项。 允许您将用户的特殊文件夹重定向到网络。
使用组策略,您就可以对用户工作环境状态只定义一次,然后靠系统实施管理员定义的策略。
本文就设置“组策略对象”(GPO) 时的一般考虑事项为管理员提供了一个概括性的描述,包括下列各节:
- 定义组策略要求。介绍如何确定组策略要求。策略设置构成了第一组要求,包括安全性和用户环境设置。第二组要求包括对象类型,如工作站、用户和“域控制器”(DC)。
- 确定设置的作用域。 介绍如何定义各策略对象的作用域,并建议了一些战略,比如:为公用设置创建一个 GPO,为要求不同设置的组创建单独的 GPO。此节还讲述了对 GPO 的更改。
- 验证 Active Directory 域/OU 设计。 介绍如何确定 Active Directory 域/组织单位 (OU) 设计能否有效地支持 GPO。
- 管理组策略。 介绍组策略管理,特别介绍管理结构、策略和做法如何影响 GPO 模型的最终结构。
- 测试和优化组策略。 介绍如何复查和测试组策略结构以便它有正确的行为和最佳性能。
- 维护组策略。 介绍在组织的需要改变时,如何排除组策略的问题和维护组策略。
定义组策略要求
本节介绍如何定义组策略要求。
首先,要确定所需策略设置的类型。策略设置通常划分为以下几部分:
- 安全设置。
- 要部署的应用程序包。
- 计算机系统设置。
- 用户环境设置。
- 特定于应用程序的设置。
下一步,确定目录中哪些类型的对象(用户,计算机)将应用这些设置。在策略设置与将要应用组策略的各对象类型之间建立交叉引用。
- 域(密码/帐户策略)
- 工作站
- 用户
- 域控制器
- 服务器(应用程序,文件与打印)
完成此阶段工作后,组策略的初步结构就形成了。此时,各目标对象(用户、工作站等)应与包含针对此对象的所有不同设置的单个 GPO 对应起来。具体例子请参见下表 1。
表 1 组策略要求示例
| 域 |
工作站 |
用户 |
域控制器 |
服务器 | |
|---|---|---|---|---|---|
| 安全性 |
密码、帐户、Kerberos 策略 PK 信任列表 |
用户权限 文件和注册表 ACL 审核和事件日志 本地设置 |
EFS 策略 |
用户权限 文件和注册表 ACL 审核和事件日志 本地设置 |
用户权限 文件和注册表 ACL 审核和事件日志 本地设置 |
| 应用程序部署 |
必需的核心应用程序 |
发布可选应用程序和组件 |
管理工具 |
管理工具 | |
| 计算机设置 |
启动脚本 登录 磁盘配额 脱机文件 |
磁盘配额 |
打印机删除 | ||
| 用户设置 |
登录脚本 Internet Explorer 设置 RAS 文件夹重定向 桌面锁住 网络 系统 |
(环回) 禁用标准用户桌面设置 |
(环回) 禁用标准用户桌面设置 | ||
| 应用程序设置 |
Office 2000 待发布的内部应用程序 |
产生的组策略对象列表
- 组策略对象
- 域安全性设置
- 工作站设置(安全性、部署的应用程序、系统设置)
- 用户设置(安全性、部署的应用程序、系统设置和应用程序设置)
- 域控制器设置(安全性、部署的应用程序与系统设置)
- 服务器设置(安全性、部署的应用程序与系统设置)
确定设置的作用域
本节介绍如何定义表 1 中列出的各策略对象的作用域。
对于各 GPO,考虑这样一个问题:
- 各目标对象(如计算机、用户或域)的设置对组织中的所有对象是否通用的?或者说,这些对象中不同的分组是否需要应用不同的设置?
如果有的 GPO 对用户/计算机群体中的不同分组应用不同的设置,则 GPO 需分叉。在此阶段,您需要确定哪些设置与群体中的哪一部分对应。
往往出现情况:许多设置对组织中的所有用户/计算机都是通用的,但有很少的一些设置因组而异。在这种情况下,可以为通用设置创建一个 GPO,为各个要求不同设置的组分别设置单独的 GPO。
在定义策略的作用域时,应考虑当用户策略设置应用到计算机而这些设置并不适用时会有什么样的影响。例如,如果一个用户负有管理责任,则设置该用户须登录到服务器控制台安装其应用程序可能是不可取的。为要保护的系统设置一个“环回”策略来补充或覆盖正常的用户设置即可避免这一点。
组策略作用域另一个需考虑的方面是,某一特定的设置组是否需要对所有从属容器强制实施,或者相反,是否需要阻止某些设置的继承。在后面的“管理组策略”一节讨论了这一问题。
表 2 组策略对象更改示例
| 现有 GPO |
作用域 |
新 GPO 的影响 |
|---|---|---|
| 域安全性 |
单位中的所有域 |
无更改 |
| 工作站安全性、应用程序、系统设置 |
工作站安全设置在某些物理位置会有变化 所有其他的设置对所有工作站通用 |
工作站安全性—全局,但某些站点有变化。 |
| 其他设置—全局。 | ||
| 用户安全性、应用程序、系统设置和应用程序设置 |
用户安全性因部门而异 系统设置对所有用户通用 应用程序和应用程序设置因部门而异 |
用户系统设置—全局 |
| 安全设置、应用程序和应用程序设置、桌面设置—每部门一个 GPO。 | ||
| 域控制器安全性、应用程序和系统设置 |
所有域控制器 |
无更改。 |
| 服务器安全性、应用程序和系统设置 |
安全性与系统设置因服务器类型(文件服务器、应用程序服务器)而异 |
服务器应用程序—全局。 |
| 安全性与系统设置—每服务器类型一个 GPO。 |
验证 Active Directory 域/OU 设计
本节为域验证/OU 设计提供了一个框架。
在此阶段,您需要确定前面讲述的功能如何部署到您的域/OU 设计中。请考虑下面几个问题:
- 域设计能否支持组策略的有效使用和管理?
- 如不能,需做何更改?
- “Active Directory 网络和委派”要求与“组策略”要求之间有何冲突?
为消除目录结构与 GPO 要求之间的冲突,往往需要用安全组来筛选 GPO。
此阶段工作的目标是产生一个经修订的 GPO 结构(也可能是经修订的 Active Directory 名称空间结构)以及对“GPO 筛选安全组”的定义。具体例子请参见下面的图 1。
图 1 设计拟议中的公司域 OU 结构
此例中,OU 结构对于所有的三个域是通用的。用户帐户管理在地区和国家级进行。用户设置和应用程序部署由各部门管理。地区 IT 中心和国家级 IT 组管理工作站、服务器和域控制器。
第一个问题是,组策略不能跨域继承,也不能从一个域复制到另一个域。一个域中的 GPO 可以从另一个域中链接,但在此特定的域模型中,这样做会使性能大大降低(因为 GPO 将通过洲际 WAN 链路加载)。
备注 在来自多个域的域控制器可通过带宽相对较高的网络访问的情形中,这可能不是一个太大的问题。不过,域间链接的麻烦可能会特别多,因为策略对象的应用将与其所有权和控制权脱离。通常,只应由对 GPO 设置有控制权的管理员进行到这些 GPO 的链接。否则 GPO 中的设置可能在链接的用户不知道的情况下就更改了(而且 GPO 的所有者也不一定知道这些更改有何影响)。
这一问题的解决办法是在各域中复制 GPO 结构。此时,有必要检查域结构,看拟议中的所有域是否可合并成一个(或者至少合并成较少的几个)以便于 GPO 管理。
第二个困难是,拟议中的 OU 结构可能不能与 GPO 的作用域很好地对应。例如,用户对象 OU 可能按地理位置组织以符合地区管理委派结构,而策略则需要按部门或业务单位来应用。解决办法是,在一个更高的的级别应用组策略对象并使用安全组(与要求的业务单位结构匹配)来筛选这些 GPO。
组策略对象的更改
除了所有 GPO 都必须在各域中复制外,对 GPO 的结构未做更改。
对域/OU 结构的更改包括在现有用户 OU 之上添加一个“用户帐户 OU”—在此应用通用的用户策略。
GPO 筛选安全组
下面的例子列举了两个一般类型的 GPO 筛选安全组:
- 每部门用户/应用程序 GPO 组
- 服务器类型 GPO 组
管理组策略
本节列出了管理组策略的一些指导原则。
起管理作用的结构、策略和做法将影响 GPO 模型的最终结构。请仔细考虑这些策略,并注意以下指导原则:
- 管理结构影响 GPO 结构。例如,尽管安全设置与其他工作站设置有相同的作用域,但控制它们的管理组可能不同。这可能要求对单个 GPO 拆分。
- 应用到“组策略”对象的访问控制列表 (ACL) 应反映出应由谁来管理这些对象。类似地,所有域和 OU 上的 ACL 应限制谁可以将 GPO 链接到这些容器。
- 包含必须应用到子 OU 中所有对象的设置的 GPO 可能需要强制实施,以防这些设置被在 OU 层次结构中较低层次应用的 GPO 所覆盖。某些全局安全策略设置通常都要求这样。
- 在另外一些情况下,本地管理员可能希望将他们的 GPO 设置指定为阻止继承的设置,使较高级别的策略设置不被继承。需要这样做的情况较少—而且由于容易造成混乱—应避免或慎用这一做法。
- 委派对一个 GPO 中部分设置的控制权这一需要,可能要求拆分 GPO 并让适当的 ACL 应用到各个新的 GPO。
- 委派对 GPO 设置的控制权和在 OU 上创建/删除组策略链接的能力。
- 将需要创建“自定义组策略编辑器”控制台。(这可能包括在策略中指定谁可以加载哪些“组策略”管理单元)。
表 3 显示了对一个 GPO 结构的更改示例。
表 3 对组策略对象结构的可能更改
| 现有 GPO |
新的 GPO |
|---|---|
| 域安全性 |
域安全性 |
| 全局工作站安全性和系统设置 |
全局工作站安全性 |
| 全局工作站系统设置 | |
| 站点工作站安全性 |
站点工作站安全性 |
| 全局用户系统设置 |
全局用户系统设置 |
| 安全设置、应用程序和应用程序设置、桌面设置(每部门)。 |
全局用户安全设置 |
| 部门用户安全性 | |
| 部门应用程序和应用程序设置 | |
| 域控制器安全性、应用程序和系统设置 |
域控制器安全性 |
| 域控制器系统和应用程序设置 | |
| 服务器应用程序 |
服务器应用程序 |
| 安全性与系统设置—每服务器类型一个 GPO |
服务器安全性 |
| 系统设置 | |
表 4 可能的 GPO 强制实施和管理控制示例
| GPO |
强制实施/阻止 |
GPO 管理员 |
|---|---|---|
| 域安全性 |
安全 | |
| 全局工作站安全性 |
强制实施 |
安全 |
| 全局工作站系统设置 |
桌面工程 | |
| 站点工作站安全性 |
强制实施 |
安全 |
| 全局用户系统设置 |
桌面工程 | |
| 全局用户安全设置 |
安全 | |
| 部门用户安全性 |
业务单位管理 | |
| 部门应用程序和应用程序设置 |
应用程序部署组 | |
| 域控制器安全性 |
安全 | |
| 域控制器系统和应用程序设置 |
基础结构工程。 | |
| 服务器应用程序 |
应用程序部署 | |
| 服务器安全性 |
安全 | |
| 服务器系统设置 |
基础结构工程 |
测试和优化组策略
本节概述了正确地测试和优化组策略需要做些什么。
在此阶段,组策略结构需要经过复查和测试,以便它有正确的行为和最佳的性能。应检验的一些内容包括:
- 如果用户在不断换用计算机,那么组策略的组合在所有不同的排列中是否表现出预期的行为?
- 如果膝上型电脑不断变换站点,那么站点和域/OU 策略设置的组合是否表现出预期的行为?
- 应检查并测试组策略设计使之更高效。如果有太多 GPO 应用到一个用户或计算机,则登录或启动时间可能长得难以接受。过多的 GPO 应用到单个用户或计算机可能会使对策略结构的理解变得很困难。
- 应检查每一个策略,看它是否可以优化。用安全组进行筛选可防止不必要的对 GPO 的客户端处理。应将策略对象中不使用的用户或计算机部分禁用,以使不必要的客户端处理量最小化。
- 对于频繁更改的较大或较复杂的 GPO,应看一下不断更改的设置部分是否可以移到一个新的 GPO 中。对 GPO 的每次更改都会导致域控制器之间的复制和到客户端的下载。将不断更改的设置部分移到一个单独的 GPO 中可使对网络和对客户端 GPO 处理时间的影响最小。
备注 但这样做又可能会导致 GPO 结构过于复杂,所以须权衡两者之间的利弊得失。
维护组策略
本节介绍随着单位需要改变,如何排除组策略的问题和维护组策略。错误的 GPO 设置会带来大范围的严重的后果。每一个更改都应在实验室中经过测试,然后才能部署到生产环境中。GPO 目前尚不能在域间复制或移动,所以在实验室测试的 GPO 要复制到产生环境中时,需要手动编辑 GPO 设置。
如要添加一个新的 GPO,可将它放在一个测试 OU(在产生域中)中并让一小组用户试用它。
如要更改一个现有 GPO,可在一个测试 OU 中试用所做的更改。首先从测试 OU 创建一个到此现有 GPO 的临时链接,然后在此 OU 中创建一个实现这些更改的新的 GPO(有更高的优先级)。在这些更改的效果经过测试后,可将这些更改放入生产 GPO 中并删除临时链接。
因为对 GPO 的更改会产生巨大的影响,所以一定要有完整的更改管理步骤。每一个拟议中的更改在获准引入生产环境之前,都应经过检查和正确的测试。
有关维护组策略方面的更多信息,请参见 Troublehshooting Group Policy(组策略疑难解答)。
总结
组策略允许您对用户工作环境状态只定义一次,然后靠系统实施所定义的策略。为达到这一状态,您需要首先在规划 Active Directory 域结构的同时仔细地创建、组织和规划 GPO。本文对建议考虑的事项作了一个高度的概括。有关进一步的信息,请参见下面的相关链接。
相关链接
请参见下列资源中的进一步的信息:
- Windows 2000 Group Policy(Windows 2000 组策略)
- Troubleshooting Group Policy in Windows 2000(Windows 2000 中组策略疑难解答)
- Implementing Registry-Based Group Policy(实现基于注册表的组策略)
- Implementing Common Desktop Management Scenarios(实现常见桌面管理方案)
- Microsoft TechNet。
有关 Windows 2000 Server 的最新信息,请参见 Microsoft TechNet 和 Windows 2000 Server Web 站点。
本文档所包含的信息代表了在发布之日,Microsoft Corporation 对所讨论问题的当前看法。因为 Microsoft 必须顺应不断变化的市场条件,故该文档不应理解为 Microsoft 一方的承诺,Microsoft 不保证所给信息在发布之日以后的准确性。
本文档仅供参考。在本文档中,MICROSOFT 不做任何明示或默示的保证。
用户必须遵守所有适用的版权法。在不对版权法所规定的权利加以限制的情况下,未得到 Microsoft 公司明确的书面许可,不得为任何目的、以任何形式或手段(电子的、机械的、影印、录制等等)复制、传播本文的任何部分,也不得将其存储或引入到检索系统中。
Microsoft 可能拥有本文档主题涉及到的专利、专利使用、商标、版权或其他知识产权。除非在 Microsoft 书面许可协议中明确提到,否则购买本文档并不向您提供其中的任何专利、商标、版权或其他知识产权。
此处作为例子提到的公司、组织、产品、人和事件均属虚构。决不意指任何实际的公司、机构、产品、人员和事件。
© 2000. Microsoft Corporation.保留所有权利。
Microsoft、Active Directory 和 Windows 是 Microsoft Corporation 在美国和/或其他国家(地区)的注册商标或商标。
此处提到的实际公司和产品名称可能是其各自所有者的商标。