尽管只有AD中的计算机和用户对象才能执行GPO,但我们可以过滤GPO的效果 。使用Win2K中的安全组、应用组策略━━这是Win2K中的一项新的安全特性,可以使特定的用户组不能执行某一个GPO 。右击MMC中GPO的名字,选择“属性”,然后再选择“安全”,就可以看到GPO目前的安全设置 。认证用户组具有应用组策略权利,从而附属这一GPO的所有用户可以执行它 。在Win2K中,安全组可以包括用户和计算机对象 。因此,利用安全组可以仔细地调整用户、计算机对象如何执行一个GPO 。你还可以对个别的应用程序应用安全组,可以指派一个GPO的软件安装部分 。例如,假设你在一个GPO中发布10个应用程序,可以指定只让金融用户用户组访问其中的5个,其他用户登录到这个域时,它们也不会发现这5个应用程序 。
GPO的内部构成
一个GPO是由两部分组成的:组策略容器(GPC)和组策略模板(GPT) 。GPC是GPO在AD中的一个实例,在一个特殊的被称作系统的容器内有一个128位的全球唯一的ID码(GUID) 。在“活动用户目录用户和计算机”插件中选择“浏览”,从MMC菜单中选择“高级属性”,就可以看到“系统”容器 。GPT是组策略在Win2K文件系统中的表现,与一个GPO有关的所有文件依赖于GPT 。
GPO带来的难题
虽然GPO的功能很强大,但要掌握它可不容易 。最难掌握的是如何判断一条有效的策略如何对域中的计算机或用户起作用,由于GPO可以存在于AD链中不同的层次上,这种判断就特别困难 。同时,由于可以指派一个GPO的控制,因此不大容易清楚其他的GPO是否会对你没有控制权的容器中的GPO有影响 。因此,计算一个计算机或用户对象接收的“策略的结果集”(RSoP)是相当困难的 。尽管微软还没有提供计算RSoP的工具,但已经有第三方厂商提供了相应的计算RSoP的工具 。
另一个难题是策略的执行 。如果在AD链上的许多层次上都存在有GPO,在用户每次登录或系统启动时都会执行所有的GPO 。在Win2K系统中,微软推出了一些新的功能来优化系统的性能 。首先,GPO的版本信息依赖于工作站和GPO,如果GPO没有变化,系统就不会执行它 。另外,在GPE的属性页上,可以禁止用户或计算机对GPO的执行 。如果建立一个GPO用来分发关闭系统或启动系统时的脚本,禁用GPO的用户配置部分,这样会使工作站不能解析GPO并判断它是否已经发生了什么变化 。
最后的一个难题起源于GPC和GPT是两个单独的实体 。GPC是AD中的一个对象,它与GPT中包含的文件的复制不同步,这意味着创建一个GPO时,在GPT开始向域控制器上的Sysvol复制文件之前GPC可能已经开始进行复制了 。
所有问题的起源都是由于AD使用了一种多主体的复制模式 。理论上,当另一个系统管理员在一个域控制器上编辑一个GPO时,你也可以在某个域上对它进行编辑 。因此,当建立一个GPE时,缺省状态下指的是在“操作主体”中充当PDC的域控制器 。(“操作主体”是AD基础结构中的一系列托管功能,用作PDC的服务器可以兼容运行NT和Win9x的工作站 。)一般情况下,可以通过只向少数的系统管理员授予编辑GPO的权利来避免这种情况的发生,并保证如果有人在编辑GPO时,让其他的人都知道 。此外,需要注意的是,在对一个GPO进行编辑时,要“禁止”它,修改结束后重新使能 。
GPO的优缺点
GPO的优点是可以让用户灵活地控制Win2K环境,但伴随着灵活性而来的是复杂性 。如果能够正确、灵活地运用GPO,就能使Win2K发挥出更加强大的功能 。
推荐阅读
- Win2000简单安全配置
- 在Win2000中实现远程访问服务
- Windows 2000 禁止接收消息
- 让Win2000服务运行得更好
- 优化指南:运行Win 2000只需要32MB内存
- 9x/NT/2000注册表网络进行优化设置
- Win2000系统无法打开网页的解决方法
- 史上最简单的Windows登录密码解救
- win2000系统文件详解
- 打造Windows 2000 路由器