計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)外文翻譯組策略的概述

1、2011年3月作者：darren mat-elia, derek melber, william r. stanekthe岀版社：microsoft press 出版時(shí)間:2005-05-25 章節(jié)：第一張，3至12頁(yè)組策略的概述在本章，我們將介紹組策略。你將學(xué)到組策略是做什么的，它是怎樣被 用于域和工作組的設(shè)置中，以及實(shí)施組策略需要什么基礎(chǔ)設(shè)施。如果你要搭建一 個(gè)活動(dòng)目錄服務(wù)的網(wǎng)絡(luò)環(huán)境，你就需耍組策略。就是這么回事。毫無(wú)疑問(wèn)，沒 有一點(diǎn)問(wèn)題。你而對(duì)的真正的問(wèn)題是給你組織的架構(gòu)和需求如何最大限度的運(yùn)用 組策略提供的。為什么？因?yàn)榻M策略意味著你作為管理員的生活變的更容易。 微軟定義組策略這個(gè)術(shù)語(yǔ)

2、是為了描述能夠允許你一起設(shè)置組策略同時(shí)把它們運(yùn) 用到離散集合（不相干記錄）的技術(shù)。實(shí)際上，組策略是一組為了簡(jiǎn)化管理共同 的、重復(fù)的以及獨(dú)特的任務(wù)而又難以手工實(shí)施但是可以被自動(dòng)化執(zhí)行的策略設(shè)置 （例如部署新的軟件或者強(qiáng)制執(zhí)行能夠安裝在電腦上的程序）。相關(guān)信息關(guān)于域名服務(wù)器體系結(jié)構(gòu)的信息，參考加windows server 2003 inside out （微軟服務(wù)器2003視窗）的第26章（微軟出版，2004）。關(guān)丁活動(dòng) 0 錄系結(jié)構(gòu)的信息，參考microsoft windows server 2003 inside out 的第32章。關(guān)于組策略實(shí)施的信息，參考木書的第四章。了解組策略組策略提

3、供了一種方便高效的方法來(lái)管理計(jì)算機(jī)和用戶設(shè)置。組策略做什么通過(guò)組策略，你能用完成（manage）設(shè)置一個(gè)用戶或者一臺(tái)計(jì)算機(jī)的方法完 成設(shè)置成千的用戶或者計(jì)算機(jī)無(wú)需離開你的辦公桌（座位）。對(duì)于這些，你 可以使用一個(gè)或多個(gè)管理工具改變?cè)O(shè)置成期望值，同時(shí)通過(guò)網(wǎng)絡(luò)把這些改變應(yīng)用 到一段期望的用戶和計(jì)算機(jī)或者任意一個(gè)用戶和計(jì)算機(jī)。一種理解思路是組策略好比一組規(guī)則能夠幫助你管理用戶和計(jì)算機(jī)。盡管缺乏一 致的理解，用這種思路理解組策略可能比以前的更直觀。仍然不可思議？想想 在組策略（出現(xiàn)）z前，許多組策略的管理改變只能通過(guò)修改windows注冊(cè)表， 每一個(gè)改變不得不單獨(dú)的在每一臺(tái)目標(biāo)主機(jī)上進(jìn)行。隨時(shí)間變化，

4、實(shí)施的棘手， 可能會(huì)導(dǎo)致災(zāi)難性后果？當(dāng)然了。進(jìn)入組策略，憑借它你可以簡(jiǎn)單的使用或者取消一個(gè)策略調(diào)整注冊(cè)表鍵值或者其 它設(shè)置，這些改變?cè)诮M策略下次刷新時(shí)能夠被自動(dòng)的應(yīng)用到你指定的每臺(tái)計(jì)算機(jī) 上。由于改變能夠被效仿（通過(guò)組策略控制臺(tái)）在修改被應(yīng)用z前，（因此）你 可以確定每一個(gè)期望改變的效果。另外，如果你不滿意（改變的）結(jié)果，你可以 通過(guò)設(shè)置策略取消改變使其冋到初始或者未配置狀態(tài)。進(jìn)一步采取這種情形，當(dāng)你用手工修改一臺(tái)機(jī)器的多個(gè)微軟窗口的注冊(cè)表設(shè)置項(xiàng) 這種情況時(shí)你將面對(duì)問(wèn)題?？赡苡脩舨荒艿卿?，（計(jì)算機(jī)）它們不能執(zhí)行必須的 動(dòng)作，或者計(jì)算機(jī)不能正常的響應(yīng)。如果您記錄了每臺(tái)計(jì)算機(jī)上的每個(gè)變動(dòng)，你 可能

5、取消那些改變?nèi)绻銐蛐疫\(yùn)同時(shí)你還止確的記錄初始的設(shè)置以及改變。 相比之下，組策略允許你返冋（“備份”）到改變執(zhí)行之前的組策略狀態(tài)。如果-些東西運(yùn)行出錯(cuò)，你可以恢復(fù)組策略到它的初始狀態(tài)。當(dāng)你恢復(fù)組策略狀態(tài), 你可以確定在下次組策略刷新時(shí)所有的改變沒有執(zhí)行。組策略怎么工作講到組策略刷新，你可能對(duì)這個(gè)術(shù)語(yǔ)意思的感到疑惑。詳細(xì)的細(xì)節(jié)見第二章，這 里只介紹基本的組策略應(yīng)用（開始過(guò)程）和簡(jiǎn)單的刷新（隨后過(guò)程）。在活動(dòng)口 錄中，兩個(gè)不同的的策略集合（組）被定義：計(jì)算機(jī)策略：它們保存在組策略中的計(jì)算機(jī)配置下并應(yīng)用于計(jì)算機(jī)。用戶策略：它們保存在組策略中的用戶配置下并被用戶使用。程序初始化時(shí)相關(guān)的策略通過(guò)兩種不同

6、的事件被觸發(fā)：當(dāng)計(jì)算機(jī)開機(jī)時(shí)計(jì)算機(jī)策略進(jìn)程被觸發(fā)。當(dāng)計(jì)算機(jī)開始工作網(wǎng)絡(luò)連接初始化， 計(jì)算機(jī)策略設(shè)置被應(yīng)用同時(shí)一個(gè)歷史的注冊(cè)表基木設(shè)置以 %a1 lusersprof i le%ntuser. pol被使用。當(dāng)用戶登錄計(jì)算機(jī)時(shí)用戶策略進(jìn)程被觸發(fā)。當(dāng)一個(gè)用戶登錄到計(jì)算機(jī)上，用 戶策略設(shè)置被應(yīng)用同時(shí)一個(gè)歷史的注冊(cè)表基木設(shè)置%userprofile%ntuser. pol 被使用。一旦被使用，組策略設(shè)置會(huì)口動(dòng)的刷新保持當(dāng)前的設(shè)置同時(shí)表現(xiàn)出執(zhí)行后和應(yīng)的 改變。在默認(rèn)情況下，域控制器上的組策略每5分鐘刷新一次。對(duì)于工作站和其 他類型的服務(wù)器，默認(rèn)情況下組策略每90-120分鐘刷新一次。除此之外，在間隔 時(shí)

7、間內(nèi)組策略每16個(gè)小時(shí)刷新一次不管是否有策略設(shè)置的改變。注意：公開的，在工作站和成員服務(wù)器上組策略的默認(rèn)刷新間隔時(shí)間是90分鐘， 但是增加30分鐘的截止時(shí)間來(lái)避免域控制器中多個(gè)同時(shí)刷新（造成的）的請(qǐng)求泛 濫。這種作用使得默認(rèn)刷新時(shí)機(jī)從90到120分鐘（不等）。要點(diǎn)：其他一些因索也能影響組策略刷新，包括慢關(guān)聯(lián)檢測(cè)如何被確定（每個(gè) 組策略的慢關(guān)聯(lián)檢測(cè)策略在 computer conf igureit ionadmini strat ive templates'system'group policyt）和computer conf igurationadmini strati ve

8、tempiatessystemgroup pol icy下策略的策略進(jìn)程設(shè)置。你可以使用組策 略控制臺(tái)（gpmc）查看最近一次組策略刷新。（參閱n錄第三章udetermining policy settings and last refresh” 目錄部分。）使用和實(shí)施組策略組策略對(duì)于活動(dòng)目錄的成功實(shí)施是那么的重要以至于絕大多數(shù)管理員把它做為 活動(dòng)目錄的組成對(duì)待。這大部分是正確的以這種思路理解也是可以的但 是使用組策略不是必須需?；顒?dòng)口錄。在工作組和域中使用組策略你能夠使用組策略管理運(yùn)行微軟windows 2000和windows xp專業(yè)版的工作站甚 至運(yùn)行windows 2000 and

9、windows server 2003的服務(wù)器。當(dāng)然你不能使用組 策略管理運(yùn)行windows nt®的工作站或者服務(wù)器，windows 95, windows 9& windows mi.1 lcnnium edition （me）,或者windows xp home edition ,（但是） 你可以在企業(yè)（域）和木地（工作組）的環(huán)境中使用組策略。在企業(yè)壞境中部署活動(dòng)冃錄，徹底的設(shè)置策略環(huán)境是很便利的。這些策略設(shè)置參 考域中基本組策略，活動(dòng)目錄中基本組策略，或者最簡(jiǎn)單的組策略（的設(shè)置）。 在活動(dòng)目錄中，位置和組織單位是兩個(gè)垂耍的相關(guān)元素（組織單元）。位置代表 著你的網(wǎng)絡(luò)的物

10、理結(jié)構(gòu)。它是一組tcp/ip子網(wǎng)段被實(shí)施用來(lái)控制在物理網(wǎng)絡(luò)位 置中目錄響應(yīng)流量和隔離登錄認(rèn)證流量。ous常常用于域中的一組對(duì)彖。在域中 一個(gè)0u是一個(gè)邏輯上的管理它可以代表一個(gè)組織或者它們的g的功能。組策略對(duì)象的工作 組策略被應(yīng)用到不相關(guān)的地方，這涉及到組策略對(duì)象（gpos）。gpos控制設(shè)置能 夠被計(jì)算機(jī)和用戶以多種方式應(yīng)用在特定的活動(dòng)目錄域，地點(diǎn)，或者0u屮。由于 活動(dòng)目錄中的基木層次結(jié)構(gòu)，高等級(jí)的gpos設(shè)置也能被低級(jí)的gpos繼承。例如 cpandl. com域的設(shè)置能被在那個(gè)域屮的engineering 0u繼承，這個(gè)域的設(shè)置將會(huì) 被應(yīng)用到engineering 0u中的用戶和計(jì)算機(jī)

11、。如果你不想策略設(shè)置被繼承，你 可以禁用這些設(shè)置來(lái)確保只有那個(gè)為低一級(jí)組策略設(shè)置的組策略對(duì)象被應(yīng)用。 要點(diǎn)：由于域屮組策略，你可能認(rèn)為使用組策略將會(huì)影響深林或域的作用強(qiáng)度， 但是這不是問(wèn)題。在深林和域中許多特定的功能模式不需耍使用組策略。森林作 用強(qiáng)度可以是windows 2000, windows server 2003 interim,或者 windows server 2003 （操作系統(tǒng)）。域作用水平強(qiáng)度可以是windows 2000 mixed, windows 2000 native, windows server 2003 interim,或者 windows server 20

12、03 （操 作系統(tǒng)）。在木地環(huán)境，一個(gè)被稱為本地組策略的組策略子集是便利的。就像名字所指，本 地組策略允許你管理策略設(shè)置并作用到每一個(gè)人登錄到的本地機(jī)器。這就意味著 木地組策略應(yīng)用到了工作組成員中任何登錄到計(jì)算機(jī)的用戶或者管理員和域成 員中任何登錄到本地計(jì)算機(jī)的用戶或管理員。由于本地組策略是組策略的一個(gè)子 集，（因此）有些在域屮可以設(shè)置的事情在本地卻不能。一般來(lái)說(shuō)，你可以通過(guò) 組策略管理策略區(qū)域中你不能管理的木地與活動(dòng)目錄有關(guān)的特征，例如安裝軟 件。猶如活動(dòng)h錄基本組策略，然而，本地策略通過(guò)組策略對(duì)象被管理。這些組 策略對(duì)彖參與扮演木地組策略對(duì)彖角色。除去本地組策略和活動(dòng)冃錄基礎(chǔ)組策略的基本上

13、的差異，兩者的策略類型被管理 的方式一樣。實(shí)際上，你使用相同的工具來(lái)管理它們。關(guān)鍵的不同在你使用的gpo 中。在本地計(jì)算機(jī)上，你使用專有的lgpo。如果你已經(jīng)部署活動(dòng)目錄，那么， 你可以使用除lgpos之外的域，單元，和0u gpos o注意：無(wú)論它們是客戶端工作站，成員服務(wù)器，或者域控制器，所有的windows 2000, windows xp professional,和 windows server 2003 的計(jì)算機(jī)都有一 個(gè)木地組策略項(xiàng)目。lgpo總是被處理的。但是，它具有最小的優(yōu)先級(jí)，這意味著 它可以通過(guò)設(shè)置站點(diǎn)，域和0u被設(shè)置取代。雖然域控制器有本地組策略項(xiàng)冃，（但 是）對(duì)于域控

14、制器的組策略被管理時(shí)最好通過(guò)一個(gè)被稱為默認(rèn)域控制器策略的默 認(rèn)gpo。對(duì)于域有一個(gè)被叫做默認(rèn)域策略的默認(rèn)gpo。就像你想象的那樣，這些默 認(rèn)的gpos有特殊的口的同時(shí)以很特別的方法被使用。稍后你將會(huì)學(xué)到更多的關(guān)于 這些默認(rèn)的gpos在本章標(biāo)題為 “working with linked gpos and default policy, 的部分。組策略入門到目前為止我們討論了組策略做什么，怎么做，怎么工作，但是我們沒有討論它 幫你更好地管理你的網(wǎng)絡(luò)的確切的方法。了解組策略設(shè)置和選項(xiàng)首先，組策略或許不是你想象的那樣。如果你從windows nt 4.0的工作壞境轉(zhuǎn) 移到windows server

15、 2003的環(huán)境屮，你應(yīng)該知道前面合法的組策略和windows nt 系統(tǒng)的策略是不同的。windowsnt系統(tǒng)的策略是十分受限制的，坦率的講即使和 組策略作用的領(lǐng)域相同。如果你在windows 2000或者稍后的windows操作系統(tǒng)上 工作，你可能已經(jīng)看到組策略能做什么，不能做什么，或者你聽到一些人錯(cuò)誤的 把他們的困境歸咎于組策略。最直接的事實(shí)是你“告訴”它什么組策略就做什么。你通過(guò)配置策略設(shè)置管理組 策略。你應(yīng)用的一個(gè)策略設(shè)置是一個(gè)單獨(dú)的設(shè)置，例如限制訪問(wèn)運(yùn)行對(duì)話框。大 部分策略設(shè)置項(xiàng)有三種基本的狀態(tài)：?jiǎn)⒂茫翰呗栽O(shè)置項(xiàng)被打開，它的設(shè)置處于活動(dòng)（狀態(tài)）。通常的你啟用一個(gè) 策略設(shè)置應(yīng)確保它被

16、執(zhí)行。一旦啟用，一些策略設(shè)置要求你配置額外的項(xiàng)為策略 設(shè)置的應(yīng)用做出調(diào)整。禁用：策略設(shè)置項(xiàng)被關(guān)閉，它的設(shè)置不會(huì)被應(yīng)用。通常地，禁用一個(gè)策略設(shè) 置應(yīng)確保它不被執(zhí)行。未配置：策略設(shè)置沒有被應(yīng)用。策略設(shè)置即不是活動(dòng)也不是無(wú)效，同時(shí)沒有 變化因策略導(dǎo)致配置設(shè)置觸發(fā)。對(duì)于他們口己，這些狀態(tài)和當(dāng)?shù)暮?jiǎn)單。但是一些人認(rèn)為組策略是復(fù)雜的因?yàn)檫@些 基本狀態(tài)（改變）會(huì)引起繼承和阻塞（這里我們概要地涉及將在第三章做詳細(xì)討 論）。記住兩條關(guān)于繼承和阻塞的規(guī)則，你將會(huì)在通往組策略成功的路上事半功 倍：如果繼承策略設(shè)置被絕對(duì)的執(zhí)行，你不能越控他們繼承策略設(shè)置被應(yīng)用 不管當(dāng)前gpo的策略狀態(tài)指派。如果在當(dāng)前的gpo中繼承策略

17、設(shè)置被阻塞同時(shí)不是必須執(zhí)行，繼承策略設(shè)置能 越控他們繼承策略設(shè)置不會(huì)應(yīng)用，只有當(dāng)前gpo中的策略設(shè)置被應(yīng)用。使用組策略管理現(xiàn)在你已經(jīng)確切的知道怎么應(yīng)用單獨(dú)的策略設(shè)置，讓我們-起看看在管理域小應(yīng) 用組策略。無(wú)論是你談?wù)摰哪镜亟M策略或者域基木組策略，管理域和他們很類似, 但是在域基本組策略中你可以干更多事情。就像先前被提到過(guò)的，你不能使用本 地組策略管理一些需要活動(dòng)目錄的特性；這些使用本地組策略能做與否的約束是 本身的限制i大i素。通過(guò)組策略，你可以管理這些關(guān)鍵的管理區(qū)域：計(jì)算機(jī)和用戶腳木：為用戶配置登錄/注銷腳本和為計(jì)算機(jī)配置開機(jī)/關(guān)機(jī)腳 本。文件夾重定向：為用戶轉(zhuǎn)移關(guān)鍵性的數(shù)據(jù)文件夾到網(wǎng)絡(luò)共享

18、以便他們可以被更 好的管理和規(guī)律性的備份（只適用基于域的組策略）。 一般的計(jì)算機(jī)安全性：為賬戶建立安全設(shè)置，事件日志，約束組，系統(tǒng)服務(wù), 注冊(cè)表，和文件系統(tǒng)。（對(duì)丁木地組策略，你只能為賬戶策略提供管理一般性的 計(jì)算機(jī)安全）木地安全策略：設(shè)置策略審計(jì)，用戶權(quán)限指派，和用戶權(quán)限。 ie維護(hù)：配置瀏覽器的界面，安全性，重要的urls,默認(rèn)程序，代理，和其他 更多。 ip安全性：為客戶端，服務(wù)器，固定服務(wù)器設(shè)置ip安全策略公鑰安全性：設(shè)置自動(dòng)注冊(cè)公鑰策略，加密文件系統(tǒng)（efs）,企業(yè)信托，等 等。軟件設(shè)置：自動(dòng)地安裝新軟件和軟件升級(jí)（只適用基于域的組策略）。遠(yuǎn)程服務(wù)設(shè)置：在客戶端安裝中設(shè)置的選項(xiàng)可用。

19、無(wú)線網(wǎng)絡(luò)（ieee 802.11）：為接入點(diǎn)，客戶機(jī)，設(shè)置無(wú)線網(wǎng)絡(luò)工作策略和網(wǎng)絡(luò) 優(yōu)先級(jí)（只適用基于域的組策略）。軟件限制：限制軟件的部署和使用木地組策略不支持基于用戶的軟件限制策 略，只支持基于計(jì)算機(jī)的軟件限制策略。雖然一個(gè)特別的策略集合被稱作管理模板，但是你也可以管理關(guān)于各個(gè)方面的用 戶圖像界面接口（gui）,從菜單到桌面，任務(wù)欄，還有更多。管理模塊策略設(shè) 置作用實(shí)際的注冊(cè)表設(shè)置，因此無(wú)論你是工作在本地組策略或者基于域的組策略 適用的策略幾乎是同一的。你可以使用管理模塊來(lái)管理：控制面板控制控制面板的進(jìn)入和選擇。你可以配置設(shè)置添加或刪除程序， 打卬機(jī)，和地域與語(yǔ)言選擇。桌面 配置window

20、s桌面，活動(dòng)桌面的外觀與交互，和從桌面活動(dòng)fi錄搜索的 選擇。網(wǎng)絡(luò) 配置網(wǎng)絡(luò)工作和網(wǎng)絡(luò)客戶端選項(xiàng)，包括文件卸載，dns客戶端，和網(wǎng) 絡(luò)連接。打卬機(jī)配置共享打卬機(jī)，瀏覽打卬機(jī)，打卬池和直接選項(xiàng) 共享文件夾 允許公用的文件夾共享和分配文件系統(tǒng)（dfs）目錄。開始程序和任務(wù)欄 配置開始程序和任務(wù)欄，首要的移岀或隱藏項(xiàng)目和選項(xiàng)。系統(tǒng)配置策略相關(guān)的正常的系統(tǒng)設(shè)置，磁盤引述，用戶簡(jiǎn)介，登錄，電源 管理，系統(tǒng)恢復(fù)，錯(cuò)謀報(bào)告，和其他更多。 windows組件 配置是否或者怎么使用windows組件，例如事件監(jiān)視器，任務(wù) 計(jì)劃?rùn)?，和windows更新。了解組策略所需的基礎(chǔ)設(shè)施 本地組策略是可用的對(duì)丁運(yùn)行wind

21、ows 2000, windows xp professional, orwindows server 2003的計(jì)算機(jī)來(lái)說(shuō)。基于域的組策略只可用在運(yùn)行活動(dòng)口錄的網(wǎng)絡(luò)中。由于活動(dòng)目錄工作依靠tcp/ip協(xié)議和域名解析（dns）,因此你必須部 署tcp/ip網(wǎng)絡(luò)壞境，dns,和活動(dòng)冃錄使用的基于域的組策略。dns和活動(dòng)目錄 dns提供能使一臺(tái)計(jì)算機(jī)找到另一臺(tái)計(jì)算機(jī)的名字解析。這是一個(gè)有ietf給出的 服務(wù)標(biāo)準(zhǔn)命名在rfc 1034和rfc 1035被詳細(xì)的說(shuō)明。在工作站和服務(wù)器上，dns 在tcp/ip協(xié)議簇被自動(dòng)的安裝，它提供幾種類型，正向請(qǐng)求允許計(jì)算機(jī)把主機(jī)名 轉(zhuǎn)換成ip地址，反向請(qǐng)求允許計(jì)

22、算機(jī)把一個(gè)ip地址轉(zhuǎn)換成主機(jī)名?；顒?dòng)目錄為域和其他特征提供必需的目錄服務(wù)使他們能夠通過(guò)組策略被提前控 制。對(duì)活動(dòng)冃錄來(lái)說(shuō)基本的通訊協(xié)議是(ldap) o ldap是一個(gè)提供目錄訪問(wèn)且運(yùn) 行在tcp/ip協(xié)議上的工業(yè)標(biāo)準(zhǔn)協(xié)議。客戶端可以使用ldap來(lái)請(qǐng)求和管理目錄信 息，符合他們準(zhǔn)許的訪問(wèn)等級(jí)。其他通訊協(xié)議也一樣支持，包括repl接口，被用 來(lái)復(fù)制；消息應(yīng)用程序接口(mapi),被用在老版本的消息客戶端；賬戶安全性 管理(sam)接口，允許windows nt 4. 0的客戶端有限制的訪問(wèn)活動(dòng)目錄?？偟?來(lái)說(shuō)，這些接口允許：與ladp通信，活動(dòng)目錄服務(wù)交互(adsi),以認(rèn)證為目的的新的客戶端展

23、槊， 訪問(wèn)控制，目錄請(qǐng)求，和目錄管理。復(fù)制其他口錄服務(wù)器以達(dá)到為域控制器分發(fā)口錄變化口的與舊(mapi)的outlook客戶端通信,主要用于查詢,為實(shí)現(xiàn)認(rèn)證和訪問(wèn)控制與windows nt 4.0的客戶端通信通過(guò)在活動(dòng)目錄中使用dns,你可以建立目錄結(jié)構(gòu)并給岀很詳盡的列舉環(huán)境。目 錄對(duì)象被域邏輯上分組。這使得域內(nèi)活動(dòng)目錄中的一個(gè)基本結(jié)構(gòu)阻塞。兩個(gè)額外 的阻塞是單元和ous,這些我們先前介紹過(guò)?；顒?dòng)目錄有非常明確的規(guī)則當(dāng)它在域，站點(diǎn)，和ous中。網(wǎng)絡(luò)上的每一個(gè)工作站 和服務(wù)器必須是域的一個(gè)成員同時(shí)位于一個(gè)單元中。一個(gè)工作站或者服務(wù)器只能 屬于一個(gè)域和一個(gè)單元。組織單元，另一方面來(lái)說(shuō)，被域明確定義

24、，可以認(rèn)為是 域中子集的包含者。例如，域中你可能有工程部，銷售，銷售員，和支持組織單 元。和域一樣，組織單元能被領(lǐng)導(dǎo)層組織。例如，你的銷售組織單元可以有打印 機(jī)銷售和計(jì)算機(jī)銷售組織單元。要點(diǎn)：在windows nt屮，你經(jīng)常創(chuàng)建額外的域來(lái)產(chǎn)生清楚地隔離在用戶，計(jì)算 機(jī)，資源或者管理者代表權(quán)限z間，同時(shí)限制管理訪問(wèn)。你可以使用活動(dòng)目錄組 織單元達(dá)成相似的目的不需要建立額外的（和更復(fù)雜的）域結(jié)構(gòu)。另一個(gè)在 nt中創(chuàng)建額外的域是為了減少網(wǎng)段之間的流量，這也是活動(dòng)目錄站點(diǎn)的描述。你 可以使用單元來(lái)增加網(wǎng)段間更好的通信控制。應(yīng)用active directory結(jié)構(gòu)的繼承當(dāng)你使木地計(jì)算機(jī)包含我們已經(jīng)討論過(guò)

25、的基木結(jié)構(gòu)，一個(gè)典型的活動(dòng)目錄網(wǎng)絡(luò)有四個(gè)明確的等級(jí)：本地計(jì)算機(jī)站點(diǎn)域組織單元當(dāng)組策略被設(shè)置在本地計(jì)算機(jī)等級(jí)，每一個(gè)登錄到本地機(jī)器上的人受策略設(shè)置的 影響（本地組策略）?；谟虻慕M策略被設(shè)置在真正的目錄結(jié)構(gòu)上，基于域的策 略設(shè)置被應(yīng)用在這些基本命令中：站點(diǎn)，域，組織單元。這個(gè)結(jié)構(gòu)被認(rèn)為有四個(gè)等級(jí)。最高等級(jí)是本地組策略，第二個(gè)等級(jí)是單元，第三 級(jí)是域，第四級(jí)是組織單元。組織單位可以相互嵌套，所以你可以根據(jù)需要?jiǎng)?chuàng)建額外的等級(jí)結(jié)構(gòu)。默認(rèn)地，當(dāng) 策略被設(shè)置在一個(gè)等級(jí)，設(shè)置應(yīng)用到那一級(jí)的所有對(duì)象和這一級(jí)以下的所有對(duì) 象，通過(guò)繼承。策略設(shè)置繼承工作如下（除非繼承被阻塞）：如果策略設(shè)置被應(yīng)用在單元等級(jí)，你影響

26、域和組織單元確定的單元部分中所 有的用戶和計(jì)算機(jī)。例如，如果主要的單元包含tech, cpandl. com和 sales, cpandl. coin域，所有被應(yīng)用到單元的設(shè)置將會(huì)影響兩個(gè)域中的對(duì)彖。如果一個(gè)策略設(shè)置被應(yīng)用在域等級(jí)，它影響組織單元確定的為域部分中的所 有用戶和計(jì)算機(jī)。例如，如果tech, cpandl. com包含engineering和it組織單元, 所有被應(yīng)用到tech. cpandl. com域中的設(shè)置將會(huì)影響engineering和tt組織單元 中的對(duì)象。如果一個(gè)策略設(shè)置被應(yīng)用在組織單元等級(jí)，它影響組織單元和低于他的組織 單元（子組織單元）確定的所有用戶和計(jì)算機(jī)。例如，

27、如果engineering組織單 元包含webteam和devteam子組織單元，所有應(yīng)用到engineering組織單元的設(shè) 置將會(huì)影響ebteam和devteam組織單元。畢業(yè)設(shè)計(jì)（論文）譯文專用紙第12頁(yè)authors:darren mar-elia, derek melber, william r. stanekthepublisher: microsoft presspublished: 2005-05-25chapter： chapter 1, page 3 to 12overview of group policyin this chapter, we will introduc

28、e group policy. you'll learn what group policy does, how it can be used in both domain and workgroup settings, and what infrastructure is required to implement it. if you're running an active directory directory service network environment, you need group policy. period. thereno doubt, no qu

29、estion at all. your only real question should be how to make the most of what group policy has to offer, given your organization's structure and needs why? because group policy is meant to make your life as an administrator easier. microsoft coined the term group policy to describe the technolog

30、y that allows you to group policy settings together and apply them in discrete sets. group policy is, in fact, a collection of policy settings that simplify administration of common and repetitive tasks as well as unique tasks that are difficult to implement manually but can be automated (such as de

31、ploying new software or enforcing which programs can be installed on computers). related information for information about dns architecture, see chapter 26 in microsoft windows server 2003 inside out (microsoft press, 2004). for information about active directory architecture, see chapter 32 in micr

32、osoft windows server 2003 inside out. for information on deploying group policy, see chapter 4 in this book. understanding group policygroup policy provides a convenient and effective way to manage computer and user settings.what it doeswith group policy, you can manage settings for thousands of use

33、rs or computers in the same way that you manage settings for one user or computerand without ever leaving your desk. to do this, you use one of several management tools to change a setting to a desired value, and this change is applied throughout the network to a desired subset of users or computers

34、 or to any individual user or computer. one way to think of group policy is as a set of rules that you can apply to help you manage users and computers despite common misperceptions, group policy does this in a way that is more intuitive than was previously possible still a nonbeliever? consider for

35、 a moment that before group policy, many of the administrative changes that group policy enables were possible only by hacking the windows registry, and each change had to be made individually on each target computer. time consuming, tricky to implement, prone to disastrous results? you betcha.enter

36、 group policy, whereby you can simply enable or disable a policy to tweak a registry value or other setting, and the change will apply automatically to every computer you designate the next time group policy is refreshed because changes can be modeled (through the group policy management console) be

37、fore the modifications are applied, you can be certain of the effect of each desired change. plus, if you doit like the results, you can undo a change by setting the policy back to its original or not configured state.to take this scenario a step further, consider the case in which you've manual

38、ly tweaked multiple microsoft windows registry settings on a number of machines and you start to have problems. maybe users can% log on, they can't perform necessaiy actions, or computers arent responding normally. if you documented every change on every computer, you might be able to undo the c

39、hanges一if you are lucky and if you properly documented the original settings as well as the changes. in contrast,group policy allows you to back up (“save") the state of group policy before making changes if something goes wrong, you can restore group policy to its original state. when you rest

40、ore the state of group policy, you can be certain that all changes are undone with the next group policy refreshhow it worksspeaking of group policy refresh, you are probably wondering what this term means. while the nitty-gritty details are covered in chapter 2, the basics of group policy applicati

41、on (initial processing) and refresh (subsequent processing) are straightforward. in active directory, two distinct sets of policies are defined: computer policies these apply to computers and are stored under computer configuration in group policy. user policies these apply to users and are stored u

42、nder user configuration in group policy.initial processing of the related policies is triggered by two unique events: processing of computer policies is triggered when a computer is started. when a computer is started and the network connection is initialized, computer policy settings are applied an

43、d a history of the registry-based settings that were applied is written to %allusersprofile%ntuser.pol processing of user policies is triggered when a user logs on to a computer. when a user logs on to a computer, user policy settings are applied and a history of the registry-based settings that wer

44、e applied is written to %userprofile%ntuser.pol. once applied, group policy settings are automatically refreshed to keep settings current and to reflect any changes that might have been made. by default, group policy on domain controllers is refreshed every 5 minutes. for workstations and other type

45、s of servers, group policy is refreshed every 90 to 120 minutes by default. in addition,group policy is refreshed every 16 hours regardless of whether or not any policy settings have changed in the intervening time.note officially, the default group policy refi-esh interval on workstations and membe

46、r servers is every 90 minutes, but a delay of up to 30 minutes is added to avoid flooding domain controllers with multiple simultaneous refresh requests. this effectively makes the default refresh window from 90 to 120 minutes. tip other factors can affect group policy refresh, including how slow li

47、nk detection is defined (per the group policy slow link detection policy under computer configurationadministrative templatessystemgroup policy) and policy processing settings for policies under computer configurationadministrative templatessystemgroup policy. you can check the last refresh of group

48、 policy using the group policy management console (gpmc). (see the section titled "determining policy settings and last refresh in chapter 3.)using and implementing group policygroup policy is so important to a successful active directory implementation that most administrators think of it as a

49、 component of active directory this is mostly true一and it is okay to think of it this way一but you don't necessarily need active directory to use group policy.using group policy in workgroups and domainsyou can use group policy to manage workstations running microsoft windows 2000 and windows xp

50、professional as well as servers running windows 2000 and windows server 2003. while you can, use group policy to manage windows nt® workstations or servers, windows 95，windows 9& windows millennium edition(me), or windows xp home edition, you can use group policy in both enterprise (domain)

51、 and local (workgroup) environments-for enterprise environments where active directory is deployed, the complete set of policy settings is available this policy set is referred to as domain-based group policy,active directory-based group policy, or simply group policy. in active directory, two impor

52、tant related elements are sites and organizational units (ous). a site represents the physical architecture of your network. it is a group of tcp/ip subnets that are implemented to control directory replication traffic and isolate logon authentication traffic between physical network locations. ous

53、are used to group objects in a domain. an ou is a logical administrative unit within a domain that can be used to represent the structure of an organization or its business functions.working with group policy objectsgroup policy is applied in discrete sets, referred to as group policy objects (gpos)

54、. gpos contain settings that can be applied in a variety of ways to computers and users in a specific active directoiy domain, site, or ou. because of the object-based hierarchy in active directory, the settings of top-level gpos can also be inherited by lower-level gpos.for example, a setting for t

55、he domain can be inherited by the engineering ou within that domain, and the domain settings will be applied to users and computers in the engineering ou. if you dorft want policy settings to be inherited, you can block these settings to ensure that only the gpo settings for the low-level gpo are ap

56、plied.for local environments, a subset of group policy called local group policy is available.as the name implies, local group policy allows you to manage policy settings that affect eveiyone who logs on to a local machine. this means local group policy applies to any user or administrator who logs

57、on to a computer that is a member of a workgroup as well as any user or administrator who logs on locally to a computer that is a member of a domain because local group policy is a subset of group policy, there are some things you carf t do locally that you can do in a domain setting generally speak

58、ing, the areas of policy that you carf t manage locally have to do with active directory features that you can manage through group policy, such as software installation.like active directory-based group policy, however, local group policy is managed through a gpo. this gpo is referred to as the loc

59、al group policy object (lgpo).beyond these fundamental differences between local group policy and active directory-based group policy, both types of policy are managed in much the same way. in fact, you use the same tools to manage both. the key difference is in the gpo you work with. on a local machine, you