下载文档原格式
什么叫组策略?作用是什么?怎么应用?首先告诉你,组策略高于注册表,如果修改了组策略,改注册表也还是受到组策略限制,所以高手修改组策略!对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。
其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2.组策略的版本对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。
当用户登录时,它会重写注册表中的设置值。
当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。
显然,Windows2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。
组策略教程什么是组策略在基于Windows Server 2003(SP1)系统的AD域中,组策略分为两种。
一种是本地计算机组策略,其作用范围仅限于本地计算机,另一种是AD域组策略,其作用范围是整个AD域中的用户和计算机。
在认识组策略以前先来简单复习一下有关注册表的知识。
注册表实质上是一个Windows 系统中保存操作系统、应用软件配置的数据库,并且随着Windows版本的不断升级和功能的不断丰富,注册表包含的配置项目也越来越多。
用户可以对注册表中的很多项目进行自定义设置,然而由于注册表可供自定义设置的分支繁多,如果手工设置则对用户的技术水平着实是一种考验。
在这种前提下,组策略应运而生。
组策略就是将系统重要的配置功能汇集成各种配置模块供管理人员直接使用,从而达到方便管理计算机的目的。
简而言之,组策略是一种用来修改注册表设置项目的有效工具。
并且由于组策略拥有更完善的管理组织方法,能够对组策略中的各种对象设置进行管理和配置,因此比手工修改注册表更加方便灵活,其功能也更加强大。
如何打开组策略编辑器Windows 2000/XP/2003系统默认已经安装了组策略组件,如何打开组策略编辑器呢?以一台运行Windows Server 2003(SP1)系统的域控制器为例,在开始菜单中单击【运行】菜单项,然后在【打开】编辑框中输入gpedit.msc命令并按回车键,打开“组策略编辑器”窗口。
打开“组策略编辑器”窗口后,其默认的编辑对象是本地计算机。
用户如果想在本地计算机中将其他计算机作为组策略编辑对象,则需要将组策略作为独立的控制台管理程序来打开,具体操作步骤如下所述:第1步,在开始菜单中单击【运行】菜单项,然后在【打开】编辑框中输入MMC命令并按回车键。
第2步,打开“控制台1”窗口,依次单击【文件】→【添加/删除管理单元】菜单命令,打开“添加/删除管理单元”对话框。
在【独立】选项卡中单击【添加】按钮,如图1所示。
毕业设计(论文)外文文献翻译文献、资料中文题目:组策略的概述文献、资料英文题目:Overview of Group Policy 文献、资料来源:文献、资料发表(出版)日期:院(部):专业:计算机班级:姓名:学号:指导教师:翻译日期: 2017.02.14作者:Darren Mar-Elia, Derek Melber, William R. StanekThe出版社:Microsoft Press出版时间:2005-05-25章节:第一张,3至12页组策略的概述在本章,我们将介绍组策略。
你将学到组策略是做什么的,它是怎样被用于域和工作组的设置中,以及实施组策略需要什么基础设施。
如果你要搭建一个活动目录服务的网络环境,你就需要组策略。
就是这么回事。
毫无疑问,没有一点问题。
你面对的真正的问题是给你组织的架构和需求如何最大限度的运用组策略提供的。
为什么?因为组策略意味着你作为管理员的生活变的更容易。
微软定义组策略这个术语是为了描述能够允许你一起设置组策略同时把它们运用到离散集合(不相干记录)的技术。
实际上,组策略是一组为了简化管理共同的、重复的以及独特的任务而又难以手工实施但是可以被自动化执行的策略设置(例如部署新的软件或者强制执行能够安装在电脑上的程序)。
相关信息■关于域名服务器体系结构的信息,参考Microsoft Windows Server 2003 Inside Out(微软服务器2003视窗)的第26章(微软出版,2004)。
■关于活动目录系结构的信息,参考Microsoft Windows Server 2003 Inside Out 的第32章。
■关于组策略实施的信息,参考本书的第四章。
了解组策略组策略提供了一种方便高效的方法来管理计算机和用户设置。
组策略做什么通过组策略,你能用完成(manage)设置一个用户或者一台计算机的方法完成设置成千的用户或者计算机——无需离开你的办公桌(座位)。
组策略详解(图解)电脑知识 2008-05-27 06:11 阅读138 评论0字号:大中小组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。
通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。
微软自Windows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP 已相当完善。
利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。
平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。
组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表强。
本文主要介绍Windows XP Professional本地组策略的应用。
本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。
其下所有设置项的配置都将保存到注册表的相关项目中。
其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到HKEY_CURRENT_USER。
一、访问组策略有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是打开控制台,将组策略添加进去。
1. 输入gpedit.msc命令访问选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。
组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。
这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。
此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。
组策略入门(一)组策略有什么用?说到组策略,就不能不提注册表。
注册表是Windows系统中保留系统、应用软件配置的数据库,随着Windows功能的愈来愈丰硕,注册内外的配置项目也愈来愈多。
很多配置都是能够自概念设置的,但这些配置发布在注册表的各个角落,若是是手工配置,可想是何等困难和烦杂。
而组策略那么将系统重要的配置功能聚集成各类配置模块,供治理人员直接利用,从而达到方便治理运算机的目的。
简单点说,组策略确实是修改注册表中的配置。
固然,组策略利用自己更完善的治理组织方式,能够对各类对象中的设置进行治理和配置,远比手工修改注册表方便、灵活,功能也加倍壮大。
(二)组策略的版本大部份Windows 9X/NT用户可能听过“系统策略”的概念,而咱们此刻大部份听到的那么是“组策略”那个名字。
其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT 的“系统策略”进展而来的,具有更多的治理模板和更灵活的设置对象及更多的功能,目前要紧应用于Windows 2000/XP/2003系统。
初期系统策略的运行机制是通过策略治理模板,概念特定的.POL(一般是)文件。
当用户登录的时候,它会重写注册表中的设置值。
固然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络运算机并对其注册表进行设置。
而组策略及其工具,那么是对当前注册表进行直接修改。
显然,Windows 2000/XP/2003系统的网络功能是其最大的特色的地方,其网络功能自然是不可少的,因此组策略工具还能够打开网络上的运算机进行配置,乃至能够打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。
这是以前“系统策略编辑器”工具无法做到的。
不管是系统策略仍是组策略,它们的大体原理都是修改注册表中相应的配置项目,从而达到配置运算机的目的,只是它们的一些运行机制发生了转变和扩展罢了。
组策略治理模板在Windows 2000/XP/2003目录中包括了几个 .adm 文件。
第11章组策略
11.1 概述
组策略是用于确保用户拥有所需的工作环境,同时减轻网络管理负担的技术。
主要功能:
◆帐户策略
◆本地策略
◆工作环境的设置
◆脚本设置
◆文件夹重定向
◆软件分发
●组策略组成
组策略包含两部分:
1.计算机配置:当计算机启动时,系统会根据“计算机配置”的内容来配置计算机的环境;
2.用户配置:当用户登录时,系统会根据“用户配置”的内容来配置用户的工作环境。
●组策略的应用顺序
组策略可以应用于下列范围内:
1.本地策略
2.站点策略
3.域策略
4.组织单位(OU)
当设置有冲突时,其优先顺序为:1〈2〈3〈4
●组策略处理规则:
1.若父容器配置,子容器未配置,则子容器内有效设置为配置,即与父容器一致;
2.若父、子容器均配置,则子容器内有效设置为:当不一致时,与子容器相同,即子容器优先;
3.若多个嵌套容器配置不发生冲突,则具有累加性;
4.计算机配置与用户配置冲突时,一般计算机配置优先;
5.当对某一容器设置多个策略链接时,若不发生冲突,则具有累加性,若发生冲突,则靠前者优先.
●组策略继承
组策略具有继承性,即当子容器未配置时,会继承其父容器的策略。
●阻止组策略继承
通过设置“阻止策略继承”,可让子容器不继承父容器的策略设置.(针对子容器)
●强迫策略继承
通过“禁止替代”设置,强迫子容器继承父容器的设置.(针对父容器)
●过渡组策略配置
通过该项配置可使该容器内某特殊对象不应用该策略.
●组策略的应用时机
1.计算机配置的应用时机.
1)计算机启动时;
2)若不重启,须等待一段时间:
A.若为DC,则间隔离分钟
B.若为DC,则间隔为90±30,即刻60∽120分钟
C.不论策略是否有改动,系统都会每隔16小时刷新一次策略
3)手工启用:
Windows2000:开始——运行——Secedit /refreshpolicy machine_policy
Windows2003:gpupdate /target:computer /force
2.用户配置的启用时间
1) 用户登录时启用;
2) 用户未注销、登录,则间隔为90±30分钟,不论策略是否有改动,系统都会每16
小时刷新一次策略;
3) 手工启用:
Windows2000:开始——运行——Secedit /refreshpolicy machine_policy
Windows2003:gpupdate /target:computer /force
11.2 组策略的基本配置
●组策略对象(GPO)
GPO:GPC(组策略容器)存储在AD内,记载了GPO属性、版本等数据;
GPT(组策略模板)存储了GPO配置值和相关文件。
默认的GPO:默认域安全策略;
默认域控制器安全策略。
11.3 脚本设置
脚本类型:
1、登录/注销脚本当用户登录或注销时系统自动运行;
2、启动/关机脚本当计算机启动或关机时系统自动运行。
实践:1、利用记事本制作登录脚本;
1)打开记事本,输入:wscript.echo “欢迎您进入本系统”
2)保存为.vbs文件
2、设置登录脚本。
11.4 文件夹重定向
利用组策略来将以下特殊文件夹的存储位置,重定向到网络上的其他位置:
Application data 此文件夹包含用户在应用程序内的专属数据,例如个人设定数据;
◆桌面此文件夹内包含着用户自行在桌面上所建立的文件夹、文件、快捷方式;
◆我的文档(My Documents)此文件夹是存储用户个人文件文件夹;
◆【开始】菜单此文件夹存储用户个人在【开始】菜单中的文件夹、快捷方式.
实践:重定向“我的文档”
11.5 软件分发
通过组策略为域的用户配置软件,分两种情况:
1、指派:即可针对用户,也可针对计算机指派。
1)指派计算机该软件会在计算机启动时,自动安装,并安装在Decoments and setting/all
users;
2)指派给用户:该软件会在用登录时“通告”给用户,分两种情况才会被安装:
A.开始→运行此软件
B.通过扩展名激活安装
2、发布:只能够针对用户发布。
分两种情况才会被安装:
A.开始——控制面板——添加删除程序——添加程序
B.通过扩展名激活安装
注:并不是所有软件都被发布,只有msi, zap, msp的扩展名才可发布。
实践:将软件发布给用户。
