mmc.exe
启动MMC,选择“控制台”,“增加/删除”插件,然后选择“组策略”插件、“浏览”,在AD域内的GPO就会显示出来,可以选择一个GPO进行编辑 。
根据GPO在AD名字空间中的不同位置,可以有几个GPO对用户对象或计算机对象起作用 。只有域中的其他对象是通过继承生成时GPO才是通过继承生成的 。Win2K通过下面的方式执行GPO,首先,操作系统执行现有的本地系统上的策略,然后,Win2K执行定义的地址级的GPO、域一级的GPO和基于OU的GPO,微软把这一优先顺序取其首个字母缩写为LSDOU(执行的顺序依次是本地、地址、域、OU层次的GPO),用户可以在这个链上的许多层次上定义GPO 。我们以pilot域为例说明如何察看一个系统中的GPO,启动“活动目录用户和计算机MMC”工具,右击pilot域名,从菜单中选择“属性”项,然后选择组策略标签 。在这个列表顶端的GPO(例如域范围的安全策略)有最高的优先权,因此,Win2K最后才会执行它 。除了本地系统外,可以在每个层次上定义几个GPO,因此如果不能严格地管理GPO,就会出现不必要的问题 。
GPO的继承模型与Novell公司的Zenworks策略方式截然不同 。在Zenworks中,如果在Novell目录服务(NDS)树上的不同点使用多个策略包,只有距离用户对象最近的策略包才起作用 。在Win2K中,如果在AD的不同层次上定义四个GPO,操作系统使用“LSDOU”优先顺序来执行这些策略,对计算机或用户的作用是这四个策略执行的“和” 。此外,有时在一个GPO中的设置会被其他GPO中的设置抵销 。通过AD级GPO,用户可以拥有更多的策略控制委托,例如,公司的安全部门负责在域一级上设计用于所有系统设备的安全GPO 。通过使用GPO,可以让某个OU的系统管理员拥有在OU上安装软件的权利 。在Zenworks模型中,必须在希望使用策略的所有层次上复制这些策略,而且策略对用户或计算机对象的作用并非是所有策略的“和” 。
为了进一步地控制GPO,微软提供了三种设置来限制GPO继承的复杂性 。在地址、域、OU三个层次上用户都可以通过选择一个检查框阻止从更高一个层次上进行继承,同样,在每一个层次上,用户可以选择缺省的域策略选项,方法是打开“活动目录用户和计算机”插件,右击GPO所在的域或OU,从菜单中选择“属性”,然后选择“组策略”标签 。让你希望修改的项目变亮,然后选择“选项”按钮,可供选择的选项有“不覆盖”或“禁止” 。如果选择了“不覆盖”选项,即使选择了不能继承的检查框,该GPO还是会起作用 。如果想在任何一个地方执行一个GPO时,这一功能就很有用处 。如果一个OU的管理员试图阻止对安全策略的继承,包含安全策略的GPO仍然会被系统执行 。“禁止”检查框可以完全禁止一个GPO执行,这一功能在你对一个GPO进行编辑而不想让其他的用户执行它时特别有效 。
GPO的执行和过滤
只有用户和计算机对象才能执行组策略 。在计算机的启动和关闭时,Win2K执行在GPO的计算机配置部分定义的策略,在用户登录和注销时,Win2K执行在GPO中用户配置部分定义的策略 。事实上,在用户登录时可以通过手动方式执行一些的策略,例如可以在命令行方式下运行secedit.exe程序执行安全策略应用程序 。此外,通过管理员模块策略可以定期地对用户和计算机的GPO设置进行刷新,缺省情况下,这种刷新每90分钟进行一次,这种刷新可以使其他用户不容易修改通过组策略定义的策略 。但是,软件安装策略是不会刷新的,因为没有人希望周期性地改变策略引起软件的“缷载”,尤其是有其他用户在使用时,就更是这样了 。计算机、用户对象只有在计算机启动或用户登录时才会软件安装策略 。
推荐阅读
- Win2000简单安全配置
- 在Win2000中实现远程访问服务
- Windows 2000 禁止接收消息
- 让Win2000服务运行得更好
- 优化指南:运行Win 2000只需要32MB内存
- 9x/NT/2000注册表网络进行优化设置
- Win2000系统无法打开网页的解决方法
- 史上最简单的Windows登录密码解救
- win2000系统文件详解
- 打造Windows 2000 路由器