Windows 2000組策略簡介

對台式機配置更詳盡的控制

組策略是Windows 2000中新增加的我最喜歡的功能，它給了我Windows NT從來沒有提供過的功能━━對使用者電腦集中而詳盡的控制，我們可以把組策略看作是NT 4.0中系統策略的改進。組策略對象（GPO）是基於活動目錄（AD）的對象，使用者可以通過它集中地對Win2K台式機和伺服器系統進行配置，它的功能包括從NT 4.0台式機的鎖定到安全性配置和軟體安裝等。

篇文章主要講述組策略是如何對系統起作用的、系統內部的工作原理以及在Win2K環境中採用這一技術時應該注意的問題，如果瞭解NT 4.0中系統策略的原理對我們理解組策略有一定的協助。

組策略是什嗎？

GPO是一種與域、地址或組織單元相聯絡的物理策略。在NT 4.0系統中，一個單一的系統策略檔案（例如ntconfig.pol）包括所有的可以執行的策略功能，但它依賴於使用者電腦中的系統註冊表的設定。在Win2K中，GPO包括檔案和AD對象。通過組策略，可以指定基於註冊表的設定、使用NT 4.0格式.adm模板檔案的運行Win2K的本機電腦、域的安全設定和使用Windows安裝程式的網路軟體安裝，這樣在安裝軟體時就可以對檔案夾進行重新導向。

微軟管理主控台（MMC）中的組策略編輯器（GPE）外掛程式與NT 4.0中的系統策略編輯器poledit.exe相當。在GPE中的每個功能節點（例如軟體佈建、Windows 設定、管理模組等）都是MMC外掛程式擴充，在MMC外掛程式中擴充是可選的管理工具，如果你是應用程式開發人員，可以通過定製的擴充拓展GPO的功能，從而針對你的應用程式提供附加的策略控制。

只有運行Win2K的系統可以執行組策略，運行NT 4.0和Windows 9x的客戶機則無法識別到或運行具有AD架構的GPO。

組策略和AD

要充分發揮GPO的功能，需要有AD域架構的支援，利用AD可以定義一個集中的策略，所有的Win2K伺服器和工作站都可以採用它。然而，每台運行Win2K的電腦都有一個本地GPO（駐留在本機電腦檔案系統上的GPO），通過本地GPO，可以為每台工作站指定一個策略，它在AD域中不起作用。例如，出於安全原因，你不會在AD域中配置公用的電腦。利用本地GPO，可以通過修改本地策略來得到安全性和對台式機的限制使用而無需利用基於AD域的GPO。訪問本地GPO的方法有2種，第1種方法，在需要修改GPO的電腦的“開始”菜單上選擇“運行”，然後鍵入：

gpedit.msc

這個操作的作用與NT 4.0中的poledit.exe相同，可以開啟本地策略檔案。第2種方法，可以通過在MMC控制台中選擇GPE外掛程式，並選擇本地或遠端電腦來人工地編輯本地GPO。

本地GPO支援除軟體安裝和檔案夾重新導向之外的所有預設擴充，因此，只利用本地GPO你不能完成這些工作，如果想充分發揮GPO的功能，還是需要AD的支援。

GPO的多樣性和繼承

在AD中，可以在域、組織單位（OU）或地址三個不同的層次上定義GPO。OU是AD中的一個容器，可以指派它對使用者、組、電腦等對象進行管理，地址是網路上子網的集合，地址形成了AD的複製分界線。GPO的名字空間被劃分為電腦配置和使用者配置兩個大類，只有使用者和電腦可以使用GPO，象印表機對象甚至使用者組都不能應用GPO。

在一個域或組織單位（OU）中編輯策略的途徑有幾種。在活動目錄使用者或電腦MMC外掛程式中，右擊一個域或組織單位（OU），在菜單中選擇“屬性”，然後選擇“組策略”標籤。在編輯地址中的策略時，需要右擊“活動目錄位址和服務”外掛程式，然後右擊需要的地址得到其GPO。此外，還可以從“開始”菜單，選擇“運行”，然後鍵入：

mmc.exe

啟動MMC，選擇“控制台”，“增加/刪除”外掛程式，然後選擇“組策略”外掛程式、“瀏覽”，在AD域內的GPO就會顯示出來，可以選擇一個GPO進行編輯。