组策略详解更新时间:2009年1月应用到:WindowsServer2008可以使用WindowsServer2008组策略来管理计算机和用户组配置,包括以下各项所对应的选项:基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。WindowsServer2008中新增的组策略首选项是二十多个组策略扩展,用于扩展组策略对象(GPO)中的可配置策略设置的范围。与组策略设置相比,首选项是非强制性的。用户可以在初始部署后更改首选项。有关组策略首选项的信息,请参阅组策略首选项概述(可能为英文网页)。通过使用组策略,您可以大大降低组织的总拥有成本。各种各样的因素可能会使组策略设计变得非常复杂,例如,大量可用的策略设置、多个策略之间的交互以及继承选项。通过仔细规划、设计、测试并部署基于组织业务要求的解决方案,您可以提供组织所需的标准化功能、安全性以及管理控制。组策略概述组策略在运行WindowsServer2008、WindowsVista、WindowsServer2003和WindowsXP的计算机上启用基于ActiveDirectory的用户和计算机设置更改和配置管理。除了使用组策略为用户和计算机组定义配置以外,还可以配置很多服务器特定的操作和安全设置,以便使用组策略帮助管理服务器计算机。您创建的组策略设置包含在GPO中。若要创建和编辑GPO,请使用组策略管理控制台(GPMC)。通过使用GPMC将GPO链接到选定ActiveDirectory站点、域和组织单位(OU),您可以将GPO中的策略设置应用于这些ActiveDirectory对象中的用户和计算机。OU是可以分配组策略设置的最低级别的ActiveDirectory容器。为指导您的组策略设计决策,您需要清楚地了解组织的业务需求、服务级别协议以及安全、网络和IT要求。通过分析当前的环境和用户要求,使用组策略定义要实现的业务目标,以及按照这些准则设计组策略基础结构,您可以确定最符合组织需要的方法。用于实现组策略解决方案的过程用于实现组策略解决方案的过程涉及规划、设计、部署和维护解决方案。在规划组策略设计时,请确保设计OU结构以简化组策略管理并符合服务级别协议。应制订使用GPO的正确操作步骤。确保您了解组策略互操作性问题,并确定是否打算使用组策略进行软件部署。在设计阶段:定义组策略的应用范围。确定适用于所有企业用户的策略设置。基于角色和位置对用户和计算机进行分类。基于用户和计算机要求规划桌面配置。规划完善的设计有助于确保成功部署组策略。部署阶段从测试环境中的暂存过程开始。该过程包括:创建标准桌面配置。筛选GPO的应用范围。指定默认组策略继承的例外情况。委派组策略管理。使用组策略建模评估有效的策略设置。使用组策略结果评估这些结果。暂存过程至关重要。应在测试环境中全面测试组策略实现,然后再将其部署到生产环境中。完成暂存和测试后,请使用GPMC将GPO迁移到生产环境中。应考虑循环反复的组策略实现:并非部署100种新组策略设置,而是最初暂存并仅部署几种策略设置以验证组策略基础结构是否正常工作。最后,制订使用组策略以及通过GPMC解决GPO问题的控制过程以准备维护组策略。备注Microsoft高级组策略管理(AGPM)通过提供全面的更改控制和增强的GPO管理来扩展GPMC功能。有关AGPM的详细信息,请访问Microsoft桌面优化包(MDOP)网站(=100757)(可能为英文网页)。在设计组策略解决方案之前需要执行的操作在设计组策略实现之前,您需要了解当前的组织环境并需要在以下几个方面执行预备步骤:ActiveDirectory:确保林中所有域的ActiveDirectoryOU设计都支持应用组策略。有关详细信息,请参阅本指南后面部分中的设计支持组策略的OU结构。网络:确保您的网络符合更改和配置管理技术的要求。例如,由于组策略使用完全限定的域名,因此,您必须在林中运行目录名称服务(DNS)才能正确处理组策略。安全:获取域中当前使用的安全组的列表。在委派组织单位管理责任以及创建需要安全组筛选的设计时,应与安全管理员紧密合作。有关筛选GPO的详细信息,请参阅本指南后面部分中的定义组策略的应用范围中的“将GPO应用于选定的组(筛选)”。IT要求:获取域中的管理所有者以及企业的域和OU管理标准的列表。这样,您便可以制订正确的委派计划并确保正确继承组策略。备注组策略取决于网络、安全和ActiveDirectory;因此,了解这些技术是至关重要的。强烈建议先熟悉这些概念,然后再实现组策略。组策略的管理要求若要使用组策略,您的组织必须使用ActiveDirectory,并且目标桌面和服务器计算机必须运行WindowsServer2008、WindowsVista、WindowsServer2003或WindowsXP。默认情况下,只有DomainAdmins或EnterpriseAdmins组的成员能够创建和链接GPO,但您可以将此任务委派给其他用户。有关组策略管理要求的详细信息,请参阅本指南后面部分中的委派组策略管理。GPMCGPMC跨组织的多个林以统一的方式管理组策略的各个方面。可以使用GPMC管理网络中的所有GPO、WindowsManagementInstrumentation(WMI)筛选器以及与组策略有关的权限。可以将GPMC视为主要的组策略访问点,GPMC界面中提供了所有组策略管理工具。GPMC包含一组用于管理组策略的可编脚本界面以及一个基于MMC的用户界面(UI)。WindowsServer2008附带提供了32位和64位版本的GPMC。GPMC提供了以下功能:导入和导出GPO。复制和粘贴GPO。备份和还原GPO。搜索现有的GPO。报告功能。组策略建模。用于模拟策略的结果集(RsoP)数据以规划组策略部署,然后再在生产环境中实现组策略。组策略结果。用于获取RSoP数据以查看GPO交互和解决组策略部署问题。支持迁移表以便于跨域和林导入和复制GPO。迁移表是一个文件,可以将对源GPO中的用户、组、计算机和通用命名约定(UNC)路径的引用映射到目标GPO中的新值。在HTML报告中报告GPO设置和RSoP数据,您可以保存和打印这些报告。可编脚本的界面,可以在其中执行GPMC中提供的所有操作。不过,无法使用脚本编辑GPO中的各个策略设置。备注WindowsServer2008不包含GPMC早期版本提供的GPMC示例脚本。不过,您可以从组策略管理控制台示例脚本(可能为英文网页)中下载适用于WindowsServer2008的GPMC示例脚本。有关使用GPMC示例脚本的详细信息,请参阅本指南后面部分中的使用脚本管理组策略。使用GPMC可大大提高组策略部署的可管理性;由于它提供了改进且简化的组策略管理界面,您可以充分利用组策略的强大功能。设计支持组策略的OU结构在ActiveDirectory环境中,可通过将GPO链接到站点、域或OU来分配组策略设置。通常,大多数GPO是在OU级别分配的,因此,请确保OU结构支持基于组策略的客户端管理策略。您还可以在域级别应用某些组策略设置,尤其是密码策略等设置。只有很少的策略设置是在站点级别应用的。设计完善的OU结构可反映组织的管理结构并利用GPO继承,这种结构可以简化组策略的应用过程。例如,设计完善的OU结构可防止复制某些GPO,以便将这些GPO应用于组织的不同部分。如果可能,请创建OU以委派管理权限和帮助实现组策略。OU设计要求综合考虑独立于组策略需求委派管理权限的要求以及组策略需应用范围需求。以下OU设计建议解决了委派和作用域问题:委派管理权限:可以在域中创建OU,并将对特定OU的管理控制委派给特定用户或组。OU结构可能会受委派管理权限的要求的影响。应用组策略:在设计OU结构时,应主要考虑要管理的对象。您可能需要创建一种结构,按靠近顶级的工作站、服务器和用户组织OU。根据您的管理模型,您可以将基于地理位置的OU视为其他OU的子或父OU,然后为每个位置复制这种结构以避免在不同的站点中进行复制。只有在以下情况下才能在下面添加OU:这种做可使组策略应用更清晰,或者您需要在这些级别下面委派管理。通过使用OU包含同类对象(如用户或计算机对象,但不能同时包含两者)的结构,您可以轻松禁用GPO中不应用于特定类型对象的部分。图1中说明的OU设计方法降低了复杂性,并提高了组策略的应用速度。请记住,链接到高层OU结构的GPO是默认继承的,因而不需要将GPO复制或链接到多个容器。在设计ActiveDirectory结构时,最重要的注意事项是简化管理和委派过程。将组策略应用于新用户和计算机帐户默认情况下,新用户和计算机帐户是在CN=Users和CN=Computers容器中创建的。无法将组策略直接应用于这些容器,但它们会继承链接到域的GPO。若要将组策略应用于默认Users和Computers容器,您必须使用新的Redirusr.exe和Redircomp.exe工具。Redirusr.exe(用于用户帐户)和Redircomp.exe(用于计算机帐户)是WindowsServer2008附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置,以便更轻松地为新创建的用户和计算机对象直接指定GPO作用域。这些工具位于%windir%\system32中包含ActiveDirectory服务角色的服务器上。通过为每个域运行一次Redirusr.exe和Redircomp.exe,域管理员可以指定在创建所有新用户和计算机帐户时将其放置到的OU。这样,管理员就可以使用组策略管理这些未分配的帐户,然后再将其分配给最终放置这些帐户的OU。请考虑使用组策略提高新用户和计算机帐户的安全性,以限制用于这些帐户的OU。有关重定向用户和计算机帐户的详细信息,请参阅Microsoft知识库中的文章324949“在WindowsServer2003域中重定向用户和计算机容器”(=100759)。站点和复制注意事项在确定适合的策略设置时,请注意ActiveDirectory的物理特性,其中包括站点的地理位置、域控制器的物理位置以及复制速度。GPO存储在ActiveDirectory和每个域控制器上的Sysvol文件夹中。这些位置具有不同的复制机制。如果怀疑可能未在域控制器中复制GPO,请使用ResourceKit工具组策略对象(Gpotool.exe)帮助诊断问题。有关Gpotool.exe的详细信息,请参阅“Microsoft帮助和支持”(=109283)。若要下载WindowsServer2008ResourceKit工具,请参阅Microsoft下载中心上的“WindowsServer2008ResourceKit工具”(=4544)(可能为英文网页)。如果出现慢速链接问题(通常是到远程站点的客户端的链接),问题可能出在域控制器位置上。如果客户端和验证域控制器之间的网络链接速度低于默认慢速链接阈值500千比特/秒,则仅默认应用管理模板(基于注册表)设置、新无线策略扩展和安全设置。不会默认应用所有其他组策略设置。不过,您可以使用组策略修改此行为。可以使用组策略慢速链接检测策略,为GPO中的用户和计算机内容更改慢速链接阈值。如有必要,您还可以调整在慢速链接阈值以下处理的组策略扩展。甚至可以根据需要,将本地域控制器放在远程位置以满足您的管理需要。符合服务级别协议某些IT组使用服务级别协议来指定应运行的服务。例如,服务级别协议可能规定了计算机启动和登录所需的最长时间、在用户登录多长时间后才能使用计算机,等等。服务