計算機專業(yè)畢業(yè)設(shè)計外文翻譯--組策略的概述

1、<p><b>　　2011年 3 月</b></p><p>　　作者：Darren Mar-Elia, Derek Melber, William R. StanekThe出版社：Microsoft Press出版時間：2005-05-25章節(jié)：第一張，3至12頁</p><p><b>　　組策略的概述</b></p&

2、gt;<p>　　在本章，我們將介紹組策略。 你將學到組策略是做什么的 ，它是怎樣被用于域和工作組的設(shè)置中，以及實施組策略需要什么基礎(chǔ)設(shè)施。如果你要搭建一個活動目錄服務(wù)的網(wǎng)絡(luò)環(huán)境，你就需要組策略。 就是這么回事。毫無疑問，沒有一點問題。你面對的真正的問題是給你組織的架構(gòu)和需求如何最大限度的運用組策略提供的。 為什么？因為組策略意味著你作為管理員的生活變的更容易。微軟定義組策略這個術(shù)語是為了描述能夠允許你一起設(shè)置組策略同時把

3、它們運用到離散集合（不相干記錄）的技術(shù)。實際上，組策略是一組為了簡化管理共同的、重復的以及獨特的任務(wù)而又難以手工實施但是可以被自動化執(zhí)行的策略設(shè)置（例如部署新的軟件或者強制執(zhí)行能夠安裝在電腦上的程序）。</p><p><b>　　相關(guān)信息</b></p><p>　　■關(guān)于域名服務(wù)器體系結(jié)構(gòu)的信息，參考Microsoft Windows Server 2003 In

4、side Out（微軟服務(wù)器2003視窗）的第26章(微軟出版，2004)。</p><p>　　■關(guān)于活動目錄系結(jié)構(gòu)的信息，參考Microsoft Windows Server 2003 Inside Out的第32章。</p><p>　　■ 關(guān)于組策略實施的信息，參考本書的第四章。</p><p><b>　　了解組策略</b></

5、p><p>　　組策略提供了一種方便高效的方法來管理計算機和用戶設(shè)置。</p><p><b>　　組策略做什么</b></p><p>　　通過組策略，你能用完成（manage）設(shè)置一個用戶或者一臺計算機的方法完成設(shè)置成千的用戶或者計算機——無需離開你的辦公桌（座位）。對于這些，你可以使用一個或多個管理工具改變設(shè)置成期望值，同時通過網(wǎng)絡(luò)把這些改變

6、應用到一段期望的用戶和計算機或者任意一個用戶和計算機。</p><p>　　一種理解思路是組策略好比一組規(guī)則能夠幫助你管理用戶和計算機。盡管缺乏一致的理解，用這種思路理解組策略可能比以前的更直觀。仍然不可思議？ 想想在組策略（出現(xiàn)）之前，許多組策略的管理改變只能通過修改Windows注冊表，每一個改變不得不單獨的在每一臺目標主機上進行。隨時間變化，實施的棘手，可能會導致災難性后果？當然了。</p>

7、<p>　　進入組策略，憑借它你可以簡單的使用或者取消一個策略調(diào)整注冊表鍵值或者其它設(shè)置，這些改變在組策略下次刷新時能夠被自動的應用到你指定的每臺計算機上。由于改變能夠被效仿（通過組策略控制臺）在修改被應用之前，（因此）你可以確定每一個期望改變的效果。另外，如果你不滿意（改變的）結(jié)果，你可以通過設(shè)置策略取消改變使其回到初始或者未配置狀態(tài)。</p><p>　　進一步采取這種情形，當你用手工修改一臺機器的

8、多個微軟窗口的注冊表設(shè)置項這種情況時你將面對問題?？赡苡脩舨荒艿卿洠ㄓ嬎銠C）它們不能執(zhí)行必須的動作，或者計算機不能正常的響應。如果您記錄了每臺計算機上的每個變動，你可能取消那些改變——如果你夠幸運同時你還正確的記錄初始的設(shè)置以及改變。相比之下，組策略允許你返回（“備份”）到改變執(zhí)行之前的組策略狀態(tài)。如果一些東西運行出錯，你可以恢復組策略到它的初始狀態(tài)。當你恢復組策略狀態(tài)，你可以確定在下次組策略刷新時所有的改變沒有執(zhí)行。</p&g

9、t;<p><b>　　組策略怎么工作</b></p><p>　　講到組策略刷新，你可能對這個術(shù)語意思的感到疑惑。詳細的細節(jié)見第二章，這里只介紹基本的組策略應用（開始過程）和簡單的刷新（隨后過程）。在活動目錄中，兩個不同的的策略集合（組）被定義：</p><p>　　■ 計算機策略：它們保存在組策略中的計算機配置下并應用于計算機。</p>

10、<p>　　■ 用戶策略：它們保存在組策略中的用戶配置下并被用戶使用。</p><p>　　程序初始化時相關(guān)的策略通過兩種不同的事件被觸發(fā)：</p><p>　　■當計算機開機時計算機策略進程被觸發(fā)。當計算機開始工作網(wǎng)絡(luò)連接初始化，計算機策略設(shè)置被應用同時一個歷史的注冊表基本設(shè)置以%AllUsersProfile%\Ntuser.pol被使用。</p><

11、p>　　■ 當用戶登錄計算機時用戶策略進程被觸發(fā)。當一個用戶登錄到計算機上，用戶策略設(shè)置被應用同時一個歷史的注冊表基本設(shè)置 %UserProfile%\Ntuser.pol 被使用。</p><p>　　一旦被使用，組策略設(shè)置會自動的刷新保持當前的設(shè)置同時表現(xiàn)出執(zhí)行后相應的改變。在默認情況下，域控制器上的組策略每5分鐘刷新一次。對于工作站和其他類型的服務(wù)器，默認情況下組策略每90-120分鐘刷新一次。除此之

12、外，在間隔時間內(nèi)組策略每16個小時刷新一次不管是否有策略設(shè)置的改變。</p><p>　　注意：公開的，在工作站和成員服務(wù)器上組策略的默認刷新間隔時間是90分鐘，但是增加30分鐘的截止時間來避免域控制器中多個同時刷新（造成的）的請求泛濫。這種作用使得默認刷新時機從90到120分鐘（不等）。</p><p>　　要點：其他一些因素也能影響組策略刷新， 包括慢關(guān)聯(lián)檢測如何被確定 (每個組策略的

13、慢關(guān)聯(lián)檢測策略在 Computer Configuration\Administrative Templates\System\Group Policy下)和ComputerConfiguration\Administrative Templates\System\Group Policy 下策略的策略進程設(shè)置。你可以使用組策略控制臺(GPMC)查看最近一次組策略刷新。(參閱目錄第三章“Determining Policy Settin

14、gs and Last Refresh”目錄部分。)</p><p><b>　　使用和實施組策略</b></p><p>　　組策略對于活動目錄的成功實施是那么的重要以至于絕大多數(shù)管理員把它做為活動目錄的組成對待。這大部分是正確的——以這種思路理解也是可以的——但是使用組策略不是必須需要活動目錄。</p><p>　　在工作組和域中使用組策略

15、</p><p>　　你能夠使用組策略管理運行微軟Windows 2000和Windows XP 專業(yè)版的工作站甚至運行Windows 2000 and Windows Server? 2003的服務(wù)器。當然你不能使用組策略管理運行Windows NT®的工作站或者服務(wù)器，Windows 95, Windows 98, Windows Millennium Edition (Me),或者Windows

16、XP Home Edition ，（但是）你可以在企業(yè)（域）和本地（工作組）的環(huán)境中使用組策略。 </p><p>　　在企業(yè)環(huán)境中部署活動目錄，徹底的設(shè)置策略環(huán)境是很便利的。這些策略設(shè)置參考域中基本組策略，活動目錄中基本組策略，或者最簡單的組策略（的設(shè)置）。在活動目錄中，位置和組織單位是兩個重要的相關(guān)元素 (組織單元)。位置代表著你的網(wǎng)絡(luò)的物理結(jié)構(gòu)。它是一組TCP/IP 子網(wǎng)段被實施用來控制在物理網(wǎng)絡(luò)位置中目錄

17、響應流量和隔離登錄認證流量。OUs常常用于域中的一組對象。在域中一個OU是一個邏輯上的管理它可以代表一個組織或者它們的目的功能。</p><p><b>　　組策略對象的工作</b></p><p>　　組策略被應用到不相關(guān)的地方，這涉及到組策略對象（GPOs）。GPOs控制設(shè)置能夠被計算機和用戶以多種方式應用在特定的活動目錄域，地點，或者OU中。由于活動目錄中的基本

18、層次結(jié)構(gòu)，高等級的GPOs設(shè)置也能被低級的GPOs繼承。例如cpandl.com域的設(shè)置能被在那個域中的Engineering OU繼承，這個域的設(shè)置將會被應用到Engineering OU 中的用戶和計算機。如果你不想策略設(shè)置被繼承，你可以禁用這些設(shè)置來確保只有那個為低一級組策略設(shè)置的組策略對象被應用。</p><p>　　要點：由于域中組策略，你可能認為使用組策略將會影響深林或域的作用強度，但是這不是問題。在

19、深林和域中許多特定的功能模式不需要使用組策略。森林作用強度可以是Windows 2000， Windows Server 2003 Interim，或者 Windows Server 2003（操作系統(tǒng)）。域作用水平強度可以是Windows 2000 Mixed，Windows 2000 Native，Windows Server 2003 Interim，或者 Windows Server 2003（操作系統(tǒng)）。 </p>

20、<p>　　在本地環(huán)境，一個被稱為本地組策略的組策略子集是便利的。就像名字所指，本地組策略允許你管理策略設(shè)置并作用到每一個人登錄到的本地機器。這就意味著本地組策略應用到了工作組成員中任何登錄到計算機的用戶或者管理員和域成員中任何登錄到本地計算機的用戶或管理員。由于本地組策略是組策略的一個子集，（因此）有些在域中可以設(shè)置的事情在本地卻不能。一般來說，你可以通過組策略管理策略區(qū)域中你不能管理的本地與活動目錄有關(guān)的特征，例如安裝

21、軟件。猶如活動目錄基本組策略，然而，本地策略通過組策略對象被管理。這些組策略對象參與扮演本地組策略對象角色。</p><p>　　除去本地組策略和活動目錄基礎(chǔ)組策略的基本上的差異，兩者的策略類型被管理的方式一樣。實際上，你使用相同的工具來管理它們。關(guān)鍵的不同在你使用的GPO中。在本地計算機上，你使用專有的LGPO 。如果你已經(jīng)部署活動目錄，那么，你可以使用除LGPOs之外的域，單元，和OU GPOs 。</

22、p><p>　　注意：無論它們是客戶端工作站，成員服務(wù)器，或者域控制器，所有的Windows 2000， Windows XP Professional，和 Windows Server 2003 的計算機都有一個本地組策略項目。LGPO總是被處理的。但是，它具有最小的優(yōu)先級，這意味著它可以通過設(shè)置站點，域和OU被設(shè)置取代。雖然域控制器有本地組策略項目，（但是）對于域控制器的組策略被管理時最好通過一個被稱為默認域控制

23、器策略的默認GPO。對于域有一個被叫做默認域策略的默認GPO。就像你想象的那樣，這些默認的GPOs有特殊的目的同時以很特別的方法被使用。稍后你將會學到更多的關(guān)于這些默認的GPOs在本章標題為 “Working with Linked GPOs and Default Policy”的部分。</p><p><b>　　組策略入門</b></p><p>　　到目前為止

24、我們討論了組策略做什么，怎么做，怎么工作，但是我們沒有討論它幫你更好地管理你的網(wǎng)絡(luò)的確切的方法。</p><p>　　了解組策略設(shè)置和選項</p><p>　　首先，組策略或許不是你想象的那樣。如果你從Windows NT 4.0 的工作環(huán)境轉(zhuǎn)移到Windows Server 2003的環(huán)境中，你應該知道前面合法的組策略和Windows NT 系統(tǒng)的策略是不同的。Windows NT系統(tǒng)的

25、策略是十分受限制的，坦率的講即使和組策略作用的領(lǐng)域相同。如果你在Windows 2000或者稍后的Windows操作系統(tǒng)上工作，你可能已經(jīng)看到組策略能做什么，不能做什么，或者你聽到一些人錯誤的把他們的困境歸咎于組策略。</p><p>　　最直接的事實是你“告訴”它什么組策略就做什么。你通過配置策略設(shè)置管理組策略。你應用的一個策略設(shè)置是一個單獨的設(shè)置，例如限制訪問運行對話框。大部分策略設(shè)置項有三種基本的狀態(tài)：&l

26、t;/p><p>　　■ 啟用：策略設(shè)置項被打開，它的設(shè)置處于活動（狀態(tài)）。通常的你啟用一個策略設(shè)置應確保它被執(zhí)行。一旦啟用，一些策略設(shè)置要求你配置額外的項為策略設(shè)置的應用做出調(diào)整。</p><p>　　■ 禁用：策略設(shè)置項被關(guān)閉，它的設(shè)置不會被應用。通常地，禁用一個策略設(shè)置應確保它不被執(zhí)行。</p><p>　　■ 未配置：策略設(shè)置沒有被應用。策略設(shè)置即不是活動也不是

27、無效，同時沒有變化因策略導致配置設(shè)置觸發(fā)。</p><p>　　對于他們自己，這些狀態(tài)相當?shù)暮唵?。但是一些人認為組策略是復雜的因為這些基本狀態(tài)（改變）會引起繼承和阻塞（這里我們概要地涉及將在第三章做詳細討論）。記住兩條關(guān)于繼承和阻塞的規(guī)則，你將會在通往組策略成功的路上事半功倍：</p><p>　　■ 如果繼承策略設(shè)置被絕對的執(zhí)行，你不能越控他們——繼承策略設(shè)置被應用不管當前GPO的策略狀

28、態(tài)指派。</p><p>　　■ 如果在當前的GPO中繼承策略設(shè)置被阻塞同時不是必須執(zhí)行，繼承策略設(shè)置能越控他們——繼承策略設(shè)置不會應用，只有當前GPO中的策略設(shè)置被應用。</p><p><b>　　使用組策略管理</b></p><p>　　現(xiàn)在你已經(jīng)確切的知道怎么應用單獨的策略設(shè)置，讓我們一起看看在管理域中應用組策略。無論是你談?wù)摰谋镜亟M

29、策略或者域基本組策略，管理域和他們很類似，但是在域基本組策略中你可以干更多事情。就像先前被提到過的，你不能使用本地組策略管理一些需要活動目錄的特性；這些使用本地組策略能做與否的約束是本身的限制因素。</p><p>　　通過組策略，你可以管理這些關(guān)鍵的管理區(qū)域：</p><p>　　■計算機和用戶腳本：為用戶配置登錄/注銷腳本和為計算機配置開機/關(guān)機腳本。</p><p

30、>　　■文件夾重定向：為用戶轉(zhuǎn)移關(guān)鍵性的數(shù)據(jù)文件夾到網(wǎng)絡(luò)共享以便他們可以被更好的管理和規(guī)律性的備份（只適用基于域的組策略）。</p><p>　　■ 一般的計算機安全性：為賬戶建立安全設(shè)置，事件日志，約束組，系統(tǒng)服務(wù)，注冊表，和文件系統(tǒng)。（對于本地組策略，你只能為賬戶策略提供管理一般性的計算機安全）</p><p>　　■ 本地安全策略：設(shè)置策略審計，用戶權(quán)限指派，和用戶權(quán)限。<

31、;/p><p>　　■IE維護：配置瀏覽器的界面，安全性，重要的URLs，默認程序，代理，和其他更多。</p><p>　　■IP安全性：為客戶端，服務(wù)器，固定服務(wù)器設(shè)置IP安全策略</p><p>　　■ 公鑰安全性：設(shè)置自動注冊公鑰策略，加密文件系統(tǒng)（EFS），企業(yè)信托，等等。</p><p>　　■ 軟件設(shè)置：自動地安裝新軟件和軟件升級（只

32、適用基于域的組策略）。</p><p>　　■ 遠程服務(wù)設(shè)置：在客戶端安裝中設(shè)置的選項可用。</p><p>　　■ 無線網(wǎng)絡(luò)(IEEE 802.11)：為接入點，客戶機，設(shè)置無線網(wǎng)絡(luò)工作策略和網(wǎng)絡(luò)優(yōu)先級（只適用基于域的組策略）。</p><p>　　■ 軟件限制：限制軟件的部署和使用本地組策略不支持基于用戶的軟件限制策略，只支持基于計算機的軟件限制策略。</

33、p><p>　　雖然一個特別的策略集合被稱作管理模板，但是你也可以管理關(guān)于各個方面的用戶圖像界面接口（GUI），從菜單到桌面，任務(wù)欄，還有更多。管理模塊策略設(shè)置作用實際的注冊表設(shè)置，因此無論你是工作在本地組策略或者基于域的組策略適用的策略幾乎是同一的。你可以使用管理模塊來管理：</p><p>　　■ 控制面板 控制控制面板的進入和選擇。你可以配置設(shè)置添加或刪除程序，打印機，和地域與語言選擇

34、。</p><p>　　■ 桌面 配置Windows桌面，活動桌面的外觀與交互，和從桌面活動目錄搜索的選擇。</p><p>　　■ 網(wǎng)絡(luò) 配置網(wǎng)絡(luò)工作和網(wǎng)絡(luò)客戶端選項，包括文件卸載，DNS 客戶端，和網(wǎng)絡(luò)連接。</p><p>　　■ 打印機 配置共享打印機，瀏覽打印機，打印池和直接選項</p><p>　　■ 共享文件夾 允許公用

35、的文件夾共享和分配文件系統(tǒng)（DFS）目錄。</p><p>　　■ 開始程序和任務(wù)欄 配置開始程序和任務(wù)欄，首要的移出或隱藏項目和選項。</p><p>　　■ 系統(tǒng) 配置策略相關(guān)的正常的系統(tǒng)設(shè)置，磁盤引述，用戶簡介，登錄，電源管理，系統(tǒng)恢復，錯誤報告，和其他更多。</p><p>　　■ Windows 組件 配置是否或者怎么使用Windows組件，例如事件

36、監(jiān)視器，任務(wù)計劃欄，和Windows更新。</p><p>　　了解組策略所需的基礎(chǔ)設(shè)施</p><p>　　本地組策略是可用的對于運行Windows 2000, Windows XP Professional, or Windows Server 2003的計算機來說?；谟虻慕M策略只可用在運行活動目錄的網(wǎng)絡(luò)中。由于活動目錄工作依靠TCP/IP協(xié)議和域名解析（DNS），因此你必須部署TC

37、P/IP網(wǎng)絡(luò)環(huán)境，DNS，和活動目錄使用的基于域的組策略。</p><p><b>　　DNS和活動目錄</b></p><p>　　DNS提供能使一臺計算機找到另一臺計算機的名字解析。這是一個有IETF給出的服務(wù)標準命名在RFC 1034 和 RFC 1035被詳細的說明。在工作站和服務(wù)器上，DNS在TCP/IP協(xié)議簇被自動的安裝，它提供幾種類型，正向請求允許計算機

38、把主機名轉(zhuǎn)換成IP地址，反向請求允許計算機把一個IP地址轉(zhuǎn)換成主機名。</p><p>　　活動目錄為域和其他特征提供必需的目錄服務(wù)使他們能夠通過組策略被提前控制。對活動目錄來說基本的通訊協(xié)議是（LDAP）。LDAP是一個提供目錄訪問且運行在TCP/IP協(xié)議上的工業(yè)標準協(xié)議?？蛻舳丝梢允褂肔DAP來請求和管理目錄信息，符合他們準許的訪問等級。其他通訊協(xié)議也一樣支持，包括REPL接口，被用來復制；消息應用程序接口（

39、MAPI），被用在老版本的消息客戶端；賬戶安全性管理（SAM）接口，允許Windows NT 4.0 的客戶端有限制的訪問活動目錄?？偟膩碚f，這些接口允許：</p><p>　　■與LADP通信，活動目錄服務(wù)交互（ADSI），以認證為目的的新的客戶端展望，訪問控制，目錄請求，和目錄管理。</p><p>　　■ 復制其他目錄服務(wù)器以達到為域控制器分發(fā)目錄變化目的</p>&l

40、t;p>　　■與舊（MAPI）的Outlook客戶端通信，主要用于查詢，</p><p>　　■ 為實現(xiàn)認證和訪問控制與Windows NT 4.0的客戶端通信</p><p>　　通過在活動目錄中使用DNS，你可以建立目錄結(jié)構(gòu)并給出很詳盡的列舉環(huán)境。目錄對象被域邏輯上分組。這使得域內(nèi)活動目錄中的一個基本結(jié)構(gòu)阻塞。兩個額外的阻塞是單元和OUs，這些我們先前介紹過。</p>

41、<p>　　活動目錄有非常明確的規(guī)則當它在域，站點，和OUs中。網(wǎng)絡(luò)上的每一個工作站和服務(wù)器必須是域的一個成員同時位于一個單元中。一個工作站或者服務(wù)器只能屬于一個域和一個單元。組織單元，另一方面來說，被域明確定義，可以認為是域中子集的包含者。例如，域中你可能有工程部，銷售，銷售員，和支持組織單元。和域一樣，組織單元能被領(lǐng)導層組織。例如，你的銷售組織單元可以有打印機銷售和計算機銷售組織單元。</p><p

42、>　　要點：在Windows NT 中，你經(jīng)常創(chuàng)建額外的域來產(chǎn)生清楚地隔離在用戶，計算機，資源或者管理者代表權(quán)限之間，同時限制管理訪問。你可以使用活動目錄組織單元達成相似的目的——不需要建立額外的（和更復雜的）域結(jié)構(gòu)。另一個在NT中創(chuàng)建額外的域是為了減少網(wǎng)段之間的流量，這也是活動目錄站點的描述。你可以使用單元來增加網(wǎng)段間更好的通信控制。</p><p>　　應用Active Directory結(jié)構(gòu)的繼承&l

43、t;/p><p>　　當你使本地計算機包含我們已經(jīng)討論過的基本結(jié)構(gòu)，一個典型的活動目錄網(wǎng)絡(luò)有四個明確的等級：</p><p><b>　　■ 本地計算機</b></p><p><b>　　■ 站點</b></p><p><b>　　■ 域</b></p><

44、p><b>　　■ 組織單元</b></p><p>　　當組策略被設(shè)置在本地計算機等級，每一個登錄到本地機器上的人受策略設(shè)置的影響（本地組策略）。基于域的組策略被設(shè)置在真正的目錄結(jié)構(gòu)上，基于域的策略設(shè)置被應用在這些基本命令中：站點，域，組織單元。</p><p>　　這個結(jié)構(gòu)被認為有四個等級。最高等級是本地組策略，第二個等級是單元，第三級是域，第四級是組織單元

45、。</p><p>　　組織單位可以相互嵌套，所以你可以根據(jù)需要創(chuàng)建額外的等級結(jié)構(gòu)。默認地，當策略被設(shè)置在一個等級，設(shè)置應用到那一級的所有對象和這一級以下的所有對象，通過繼承。</p><p>　　策略設(shè)置繼承工作如下（除非繼承被阻塞）：</p><p>　　■ 如果策略設(shè)置被應用在單元等級，你影響域和組織單元確定的單元部分中所有的用戶和計算機。例如，如果主要的單元

46、包含tech.cpandl.com和sales.cpandl.com域，所有被應用到單元的設(shè)置將會影響兩個域中的對象。</p><p>　　■ 如果一個策略設(shè)置被應用在域等級，它影響組織單元確定的為域部分中的所有用戶和計算機。例如，如果tech.cpandl.com 包含Engineering和IT組織單元，所有被應用到tech.cpandl.com域中的設(shè)置將會影響Engineering和IT組織單元中的對象。

47、</p><p>　　■ 如果一個策略設(shè)置被應用在組織單元等級，它影響組織單元和低于他的組織單元（子組織單元）確定的所有用戶和計算機。例如，如果Engineering 組織單元包含WebTeam和 DevTeam子組織單元，所有應用到Engineering 組織單元的設(shè)置將會影響ebTeam和 DevTeam組織單元。 </p><p>　　Authors:Darren Mar-Elia,

48、 Derek Melber, William R. StanekThePublisher: Microsoft PressPublished: 2005-05-25Chapter：Chapter 1，Page 3 To 12</p><p>　　Overview of Group Policy</p><p>　　In this chapter, we will introduce

49、Group Policy. You’ll learn what Group Policy does,</p><p>　　how it can be used in both domain and workgroup settings, and what infrastructure</p><p>　　is required to implement it. If you’re runn

50、ing an Active Directorynetwork environment, you need Group Policy. Period. There’s no doubt, no question</p><p>　　at all. Your only real question should be how to make the most of what Group Policy</p>

51、<p>　　has to offer, given your organization’s structure and needs. Why? Because Group</p><p>　　Policy is meant to make your life as an administrator easier. Microsoft coined the term</p><p&

52、gt;　　Group Policy to describe the technology that allows you to group policy settings</p><p>　　together and apply them in discrete sets. Group Policy is, in fact, a collection of policy</p><p>　

53、　settings that simplify administration of common and repetitive tasks as well as unique</p><p>　　tasks that are difficult to implement manually but can be automated (such as deploying new software or enforci

54、ng which programs can be installed on computers).</p><p>　　Related Information</p><p>　　■ For information about DNS architecture, see Chapter 26 in Microsoft Windows</p><p>　　Server

55、 2003 Inside Out (Microsoft Press, 2004).</p><p>　　■ For information about Active Directory architecture, see Chapter 32 in Microsoft</p><p>　　Windows Server 2003 Inside Out.</p><p>

56、;　　■ For information on deploying Group Policy, see Chapter 4 in this book.</p><p>　　Understanding Group Policy</p><p>　　Group Policy provides a convenient and effective way to manage computer a

57、nd user</p><p><b>　　settings.</b></p><p>　　What It Does</p><p>　　With Group Policy, you can manage settings for thousands of users or computers in</p><p>　　

58、the same way that you manage settings for one user or computer—and without ever</p><p>　　leaving your desk. To do this, you use one of several management tools to change a</p><p>　　setting to a

59、desired value, and this change is applied throughout the network to a</p><p>　　desired subset of users or computers or to any individual user or computer.</p><p>　　One way to think of Group Poli

60、cy is as a set of rules that you can apply to help you</p><p>　　manage users and computers. Despite common misperceptions, Group Policy does</p><p>　　this in a way that is more intuitive than wa

61、s previously possible. Still a nonbeliever?</p><p>　　Consider for a moment that before Group Policy, many of the administrative changes</p><p>　　that Group Policy enables were possible only by h

62、acking the Windows registry, and</p><p>　　each change had to be made individually on each target computer. Time consuming,</p><p>　　tricky to implement, prone to disastrous results? You betcha.&

63、lt;/p><p>　　Enter Group Policy, whereby you can simply enable or disable a policy to tweak a</p><p>　　registry value or other setting, and the change will apply automatically to every computer you

64、designate the next time Group Policy is refreshed. Because changes can be modeled (through the Group Policy Management Console) before the modifications are applied, you can be certain of the effect of each desired chang

65、e. Plus, if you don’t like the results, you can undo a change by setting the policy back to its original or Not Configured state.</p><p>　　To take this scenario a step further, consider the case in which you

66、’ve manually</p><p>　　tweaked multiple Microsoftand you start to have problems. Maybe users can’t log on, they can’t perform necessary actions, or computers aren’t responding normally. If you documented ever

67、y</p><p>　　change on every computer, you might be able to undo the changes—if you are lucky</p><p>　　and if you properly documented the original settings as well as the changes. In contrast,Grou

68、p Policy allows you to back up (“save”) the state of Group Policy before</p><p>　　making changes. If something goes wrong, you can restore Group Policy to its original state. When you restore the state of Gr

69、oup Policy, you can be certain that all changes are undone with the next Group Policy refresh.</p><p>　　How It Works</p><p>　　Speaking of Group Policy refresh, you are probably wondering what th

70、is term</p><p>　　means. While the nitty-gritty details are covered in Chapter 2, the basics of group</p><p>　　policy application (initial processing) and refresh (subsequent processing) are</

71、p><p>　　straightforward. In Active Directory, two distinct sets of policies are defined:</p><p>　　■ Computer policies These apply to computers and are stored under Computer</p><p>　　Co

72、nfiguration in Group Policy.</p><p>　　■ User policies These apply to users and are stored under User Configuration in</p><p>　　Group Policy.</p><p>　　Initial processing of the relat

73、ed policies is triggered by two unique events:</p><p>　　■ Processing of computer policies is triggered when a computer is started. When</p><p>　　a computer is started and the network connection

74、is initialized, computer policy</p><p>　　settings are applied and a history of the registry-based settings that were applied</p><p>　　is written to %AllUsersProfile%\Ntuser.pol.</p><p

75、>　　■ Processing of user policies is triggered when a user logs on to a computer. When</p><p>　　a user logs on to a computer, user policy settings are applied and a history of the</p><p>　　reg

76、istry-based settings that were applied is written to %UserProfile%\Ntuser.pol.</p><p>　　Once applied, Group Policy settings are automatically refreshed to keep settings current and to reflect any changes tha

77、t might have been made. By default, Group Policy on domain controllers is refreshed every 5 minutes. For workstations and other types of servers, Group Policy is refreshed every 90 to 120 minutes by default. In addition,

78、Group Policy is refreshed every 16 hours regardless of whether or not any policy settings have changed in the intervening time.</p><p>　　Note Officially, the default Group Policy refresh interval on workstat

79、ions and member servers is every 90 minutes, but a delay of up to 30 minutes is added to avoid flooding domain controllers with multiple simultaneous refresh requests. This effectively makes the default refresh window fr

80、om 90 to 120 minutes.</p><p>　　Tip Other factors can affect Group Policy refresh, including how slow link detection</p><p>　　is defined (per the Group Policy Slow Link Detection Policy under Com

81、puter Configuration\Administrative Templates\System\Group Policy) and policy processing settings for policies under Computer Configuration\Administrative Templates\System\Group Policy. You can check the last refresh of G

82、roup Policy using the Group Policy Management Console (GPMC). (See the section titled “Determining Policy Settings and Last Refresh” in Chapter 3.)</p><p>　　Using and Implementing Group Policy</p><

83、;p>　　Group Policy is so important to a successful Active Directory implementation that</p><p>　　most administrators think of it as a component of Active Directory. This is mostly</p><p>　　tru

84、e—and it is okay to think of it this way—but you don’t necessarily need Active</p><p>　　Directory to use Group Policy.</p><p>　　Using Group Policy in Workgroups and Domains</p><p>　

85、　You can use Group Policy to manage workstations running Microsoft Windows 2000</p><p>　　and Windows XP Professional as well as servers running Windows 2000 and Windows Server? 2003. While you can’t use Grou

86、p Policy to manage Windows NT® workstations or servers, Windows 95, Windows 98, Windows Millennium Edition(Me), or Windows XP Home Edition, you can use Group Policy in both enterprise (domain) and local (workgroup)

87、environments.</p><p>　　For enterprise environments where Active Directory is deployed, the complete set of</p><p>　　policy settings is available. This policy set is referred to as domain-based G

88、roup Policy,Active Directory–based Group Policy, or simply Group Policy. In Active Directory, two important related elements are sites and organizational units (OUs). A site represents the physical architecture of your n

89、etwork. It is a group of TCP/IP subnets that are implemented to control directory replication traffic and isolate logon authentication traffic between physical network locations. OUs are used to group o</p><p&

90、gt;　　Working with Group Policy Objects</p><p>　　Group Policy is applied in discrete sets, referred to as Group Policy Objects (GPOs).</p><p>　　GPOs contain settings that can be applied in a vari

91、ety of ways to computers and users in a specific Active Directory domain, site, or OU. Because of the object-based hierarchy in Active Directory, the settings of top-level GPOs can also be inherited by lower-level GPOs.&

92、lt;/p><p>　　For example, a setting for the cpandl.com domain can be inherited by the Engineering</p><p>　　OU within that domain, and the domain settings will be applied to users and computers in th

93、e Engineering OU. If you don’t want policy settings to be inherited, you can block these settings to ensure that only the GPO settings for the low-level GPO are applied.</p><p>　　For local environments, a su

94、bset of Group Policy called Local Group Policy is available.As the name implies, Local Group Policy allows you to manage policy settings that affect everyone who logs on to a local machine. This means Local Group Policy

95、applies to any user or administrator who logs on to a computer that is a member of a workgroup as well as any user or administrator who logs on locally to a computer that is a member of a domain. Because Local Group Poli

96、cy is a subset of Group Policy, </p><p>　　Beyond these fundamental differences between Local Group Policy and Active</p><p>　　Directory–based Group Policy, both types of policy are managed in mu

97、ch the same</p><p>　　way. In fact, you use the same tools to manage both. The key difference is in the GPO</p><p>　　you work with. On a local machine, you work exclusively with the LGPO. If you

98、have</p><p>　　deployed Active Directory, however, you can also work with domain, site, and OU</p><p>　　GPOs in addition to LGPOs.</p><p>　　Getting Started with Group Policy</p>

99、;<p>　　So far we’ve discussed what group policy does, how it works, and how to use it, but we haven’t discussed the specific ways in which it can help you better manage your network.</p><p>　　Understa

100、nding Group Policy Settings and Options</p><p>　　First of all, Group Policy might not be what you think it is. If you are moving from</p><p>　　Windows NT 4.0 environments to Windows Server 2003

101、environments, you should</p><p>　　know right up front that Group Policy is not the same as Windows NT System Policy.</p><p>　　Windows NT System Policy is very limited and quite frankly not even

102、on the same</p><p>　　playing field as Group Policy. If you have worked with Windows 2000 or later versions of the Windows operating system, you might have already seen some of what Group Policy can do and no

103、t realized it, or you might have heard someone incorrectly</p><p>　　blame Group Policy for his woes.</p><p>　　The simple truth is that Group Policy does what you tell it to do. You manage Group&

104、lt;/p><p>　　Policy by configuring policy settings. A policy setting is an individual setting that you</p><p>　　apply, such as restricting access to the Run dialog box. Most policy settings have thr