組策略是Windows的一項功能,可以統一對用戶或計算機進行配置管理。組策略中最基本的組件是策略,策略頂一樓要應用的配置變動情況。策略的設置都是保存在組策略對象中(GPO)。在組策略中又分計算機配置和用戶配置。用戶配置是種的設置是針對用戶,無論用戶登錄到那臺計算機都將會應用,用戶配置需要鏈接到用戶賬號所在OU才生效。計算機配置則是針對計算機,無論哪個用戶登錄到計算機都將會應用,需要鏈接到計算機賬號所在的OU才生效。
一、WindowsServer2012中組策略的新功能
1.組策略更新。
在之前,當管理髮佈一個組策略後,如果需要立即應用,一般都是在使用gpupdate/force進行強制刷新。在WindowsServer2012中可以直接在控制檯刷新就可以,爲特定OU內所有計算機更新組策略,而不需要等90分鐘來在整個網絡中刷新。該操作會在目標OU內的計算機中產生2個列表形式的任務,所以客戶端防火牆必須開放相應的設置,確保DC能連通客戶端。
2.組策略複製狀態
WindowsServer2012在組策略對象的狀態標籤中可以直觀的看到AD和Sysvol(DFSR)的複製及組策略有關的狀態。因爲AD的複製決定了組策略能否在域內應用的關鍵,這也是一個非常方便的故障診斷工具。
WindowsServer2012組策略的更新不止上述兩點,有關更多的更新請參考http://technet.microsoft.com/zh-cn/library/jj574108.aspx
二、組策略作用域
1.組策略的作用域決定了哪些AD對象纔會應用該策略。
2.組策略的繼承和優先級
在同一個OU可能會被鏈接或應用多個GPO,因此有些設置可能會產生衝突。在這種情況下,GPO的優先級決定客戶端最終應用哪個設置。具有較高優先級的GPO將覆蓋較低優先級的GPO。在GPMC中,數字越小表示GPO的優先級越高。
注意:如果優先級較高的GPO中某一策略設置爲“未配置”,而優先級較低的GPO中該策略被設置過(無論是啓用或禁用),那麼優先級較低的GPO中設置的策略將生效。
3.組策略的處理順序
默認的組策略處理順序是:本地---站點--域--OU。
如果需要一個OU只應用鏈接到該OU的策略,則可以在該OU上選擇“阻止繼承”。
如果針對企業做一些策略設置確保不被其他策略所覆蓋,則可以對該GPO啓用“強制”。啓動強制後,該GPO具有最高優先級,這樣的GPO中包含的策略設置將覆蓋其他GPO中任何產生衝突的設置。強制GPO會直接應用給OU內的子對象,包括已經設置爲阻止繼承的OU。
4.在安全篩選中修改GPO的作用域
默認情況下GPO會應用給所有經過認證的用戶,也就是AuthenticatedUsers組。如果只需要應用到特定的對象,把AuthenticatedUsers刪除,然後添加需要應用的用戶、組或計算機對象即可。
如果需要排除特定的用戶、組或計算機應用該策略,則可以在委派便籤中添加權限即可。
三、組策略工具介紹
1.策略結果集
策略結果集(RSoP)可用於對組策略設置的應用進行評估、建模和排錯。RSoP可以查詢本地或遠程計算機是否正確應用到所配置的策略。
a.在GPMC中使用組策略結果集,在GPMC中右擊“組策略結果”,選擇“組策略結果嚮導”,在嚮導中選擇本地或遠程計算機即可。
完成上述步驟後可以在結果集查看策略應用的詳細信息。
b.在客戶端中則可以直接在運行中輸入:rsop.msc進行查看組策略結果集,在組策略排錯中也能起到很大作用。
本文只對組策略的一些概念及功能介紹,組策略中大概有4500多個設置,這裏無法一一介紹,需要大家在日常管理過程中去發掘組策略的強大功能。恰當的組策略配置,能給管理員減少很大的工作量,也能實現對用戶或客戶端進行企業統一管理。
本文出自“蠟筆小牛”博客,請務必保留此出處http://labixiaoniu.blog.51cto.com/695063/1270421