基本信息

中文名

组策略

外文名

Group Policy作    用

设置各种软件、计算机和用户策略

领    域

主要应用于

组策略操作

编辑

语音

组策略在部分意义上是控制用户可以或不能在计算机上做什么，例如：施行密码复杂性策略避免用户选择过于简单的密码，允许或阻止身份不明的用户从远程计算机连接到网络共享，阻止访问Windows任务管理器或限制访问特定文件夹。这样一套配置被称为组策略对象(Group Policy Object，GPO)。[1]

作为微软IntelliMirror技术的一部分，组策略旨在减少用户支持成本。IntelliMirror技术涉及已断开机器或漫游用户的管理，并包括漫游用户配置文件、文件夹重定向和脱机文件。

组策略施行

要完成一组计算机的中央管理目标，计算机应该接收和执行组策略对象。驻留在单台计算机上的组策略对象仅适用该台计算机。要应用一个组策略对象到一个计算机组，组策略依赖于活动目录(或第三方产品，例如ZENworks Desktop Management)进行分发。活动目录可以分发组策略对象到一个Windows域中的计算机。

默认情况下，Microsoft Windows每90分钟刷新一次组策略，随机偏移30分钟。在域控制器上，Microsoft Windows每隔5分钟刷新一次。在刷新时，它会发现、获取和应用所有适用这台计算机和已登录用户的组策略对象。某些设置，例如自动化软件安装、驱动器映射、启动脚本或登录脚本，只在启动或用户登录时应用。从Windows XP开始，用户可以从命令行提示符使用gpupdate命令手动启动组策略刷新。

组策略对象会按照以下顺序(从上向下)处理：本地- 任何在本地计算机的设置。在Windows Vista之前，每台计算机只能有一份本地组策略。在Windows Vista和之后的Windows版本中，允许每个用户帐户分别拥有组策略。

站点- 任何与计算机所在的活动目录站点关联的组策略。(活动目录站点是旨在管理促进物理上接近的计算机的一种逻辑分组)。如果多个策略已链接到一个站点，将按照管理员设置的顺序处理。

域- 任何与计算机所在Windows域关联的组策略。如果多个策略已链接到一个域，将按照管理员设置的顺序处理。

组织单元- 任何与计算机或用户所在的活动目录组织单元(OU)关联的组策略。(OU是帮助组织和管理一组用户、计算机或其他活动目录对象的逻辑单元)。如果多个策略已链接到一个OU，将按照管理员设置的顺序处理。

应用到指定计算机或用户的组策略设置结果被称为策略结果集(RSoP)。可以使用gpresult命令显示计算机和用户的RSoP信息。

组策略继承

组策略设置内部是一个分层结构，父传子、子传孙，以此类推，这被称为“继承”。它可以控制阻止或施行策略应用到每个层级。如果高级别的管理员创建了一个具有继承性的策略，而低层级的管理员策略与此相悖，此策略仍将生效。

在组策略偏好设置已配置并且同等的组策略设置已配置时，组策略设置将会优先。

组策略过滤

WMI过滤是组策略通过Windows管理规范(WMI)过滤器来选择应用范围的一个流程。过滤器允许管理员只应用组策略到特定情况，例如特定型号、内存、已安装软件或任何WMI可查询条件的特定情况的计算机。

组策略本地组策略

编辑

语音

本地组策略(Local Group Policy，缩写LGP或LocalGPO)是组策略的基础版本，它面向独立且非域的计算机。至少Windows XP家庭版中它就已经存在，并且可以应用到域计算机。在Windows Vista以前，LGP可以强制施行组策略对象到单台本地计算机，但不能将策略应用到用户或组。从Windows Vista开始，LGP允许本地组策略管理单个用户和组，并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。

组策略组策略偏好

编辑

语音

曾经有一批组策略设置扩展，它被称为PolicyMaker。微软购买了PolicyMaker并将其集成到Windows Server 2008。微软之后发布了迁移工具，允许用户迁移PolicyMaker设置项到组策略偏好。

组策略偏好添加了许多新的配置项。这些偏好中有大量的目标选项，可以用来精确控制要设置的应用程序。

组策略偏好兼容x86和x64版本的Windows XP、Windows Server 2003和Windows Vista加Client Side Extensions(也称CSE)。

组策略组策略管理控制台

编辑

语音

在最初，组策略是使用“组策略编辑”工具进行修改，它与活动目录用户和计算机的微软管理控制台(MMC)插件集成，但后来它被分区成一个独立的MMC插件，被称为组策略管理控制台。组策略管理控制台是Windows Server 2008和Windows Server 2008 R2中的一个用户组件，并在Windows Vista和Windows 7中作为一个“远程服务器管理工具”可下载组件。

组策略高级组策略管理

编辑

语音

微软发布过一个称之为“高级组策略管理”(Advanced Group Policy Management)的工具来更改组策略。此工具可供任何微软桌面优化包授权的组织使用。此高级工具允许管理员检查/签出组策略对象的更改，跟踪组策略对象的变更，以及对组策略对象的更改实施审核工作流。

AGPM工具由两个部分组成——服务器和客户端。服务器是一个Windows服务，它在同一台计算机或网络共享上的存档位置存储其组策略对象。客户端是组策略管理控制台的一个插件，并连接到AGPM服务器。客户端可通过组策略配置。

组策略安全

编辑

语音

组策略设置是由目标应用程序自愿实施的。在许多情况下，这只是禁止访问特定功能的用户接口。

另外，恶意用户可以修改或干扰应用程序，使其不能成功读取组策略设置，从而实行更低或者默认的安全设置。

组策略Windows 8增强

编辑

语音

Windows 8引入了被称为“组策略更新”的一个新功能。此功能允许管理员强制在特定组织单位的所有计算机帐户上更新一个组策略。这会在计算机上创建一个计划任务，在10分钟内运行GPUPDATE命令，具体开始时间随机调整，以免域控制器过载。

“组策略基础设施状态”已被引入，这可以报告任何“组策略对象”是否没有正确复制域控制器。

“组策略结果报告”也是一个新功能，它会在执行“组策略更新”时执行。[2]

词条图册

更多图册

参考资料

1.

Dennis M W, Freed M L, Plastina D, et al. System and method for implementing group policy: U.S. Patent 6,466,932[P]. 2002-10-15.

2.

张展. 组策略在 Windows 域管理中的应用[J]. 电脑知识与技术: 学术交流, 2011, 7(8): 5390-5392.