这个主题解释了群组策略基础架构，包括组策略引擎如何控制处理策略，包括GPO的恢复，个别扩展的调用以及其它功能性基础架构。

组策略组件子集描述了服务端管理单元扩展和客户端扩展的扩展角色。这些扩展包括：管理模板，软件安装，安全设定，脚本，远程安装服务，Internet Explorer维护，文件夹重定向，QoS数据包调度程序, 磁盘配额以及无线网络策略 。

组策略管理工具

此子集解释力包括组策略对象编辑器，组策略管理控制台以及策略结果集管理单元在内的管理工具 (RSoP) 。

群组策略被用于定义用户和计算机的群组配置。使用群组策略，您可以在大范围内指定详细而精确的配置，包括管理模板（基于策略的注册表），安全，软件安装，脚本，文件架重定向，远程服务安装以及Internet Explorer 维护。群组策略设置包含在GPO中，通过将GPO同选定活动目录系统容器—站点、域和组织单元—相关联，GPO的群组策略设置被应用到那些活动目录容器中的用户和计算机上。这个章节将会告诉您能够用组策略去做什么。

桌面、应用程序以及基于注册表策略的组件管理

管理模板(或者 .adm 文件) 允许您使用组策略控制注册表设置，提供设置桌面的行为和外观，这包括操作系统，组件和应用程序。Windows 中预先定义了一组管理模板文件，它们是作为文本文件实现的（使用.adm的扩展名），注册表设置可以定义在GPO中。这些.adm 文件默认保存在两个位置: 包含在Sysvol 文件架的GPO中和本地计算机上%windir%\inf 的目录中。

安全管理

组策略可以对于用户、客户端、服务器以及域控制器，进行如下的安全类型选项管理：

• 安全设置 此组策略设置用于指定各种安全相关的操作系统参数，例如密码策略，用户权限委派，审核策略，注册表键值，文件和注册表ACL以及服务启动模式

• IPSec 策略 这些组策略设置用于对认证或者加密网络通信，设置IPSec 服务。IPSec 策略由一组安全策略，每条安全策略由一条作用的IP 筛选构成。

• 软件限制策略 这些群组策略设置用于保护计算机原理那些不受信任的代码，以及指定允许运行的应用程序

• 无线网络策略 无线网络服务，一个针对每块安装于计算机上，符合IEEE802.11标准的无线网卡，实施操作的用户模式服务，这些群组策略设置用于针对此服务进行配置设定，

• 共用密匙策略 这些策略设定用于：

• 指定计算机自动将证书请求发送到权威认证并安装发布的证书。

• 创建并发布一个证书信任列表

• 建立共用信任根权威认证

• 添加加密数据恢复代理以及变更加密数据恢复策略设置。

执行软件安装组策略

软件安装管理单元用于集中管理软件。软件可以指派或者发布给用户，同时也可以指派给计算机。软件安装组策略可以用于计算机启动，用户登录或者发出软件安装请求时安装应用程序。此策略设定可以被应用到活动目录架构中的用户或者计算机。

软件安装策略也可以用户升级已发布的应用程序，或者卸载早期安装已不再需要的应用程序。此策略限制用户从本地介质，比如CD-ROM，或者磁盘安装任何应用软件或者其他未经授权的应用程序。

中、大型的组织可以考虑使用Systems Management Server (SMS). SMS 提供高性能的服务，诸如基于对象的清单，状态报告，服务和客户端计划任务，多站点设施，混合对象，集中的硬件和软件清单，远程诊断工具，软件测定，软件发布点的数目与维护，支持Windows 95, Windows 98, Windows NT® 4.0, Windows 2000和 Windows XP 客户端以及增强型软件发布功能。SMS 不需要活动目录。

远程操作系统安装管理

远程安装服务 (RIS) 用于控制如同客户端计算机所显示的，远程操作系统安装功能。远程安装允许管理员贯穿整个组织在允许Preboot eXecution Environment (PXE)远程启动的客户端计算机上，执行一个全新的Windows安装。通过从远端资源执行一个定制的全自动的安装过程，管理员就不必直接接触新的计算机去安装操作系统和核心软件了。

脚本管理

脚本用户计算机启动关闭以及用户登录注销时自动执行任务。编写脚本可以使用任何为Windows 脚本宿主所支持的语言，这包括Microsoft Visual Basic® 开发系统, Scripting Edition (VBScript), JavaScript, PERL以及 MS DOS样式批处理文件 (.bat 和.cmd).

Internet Explorer管理

Internet Explorer 维护用于管理和定制运行于Windows2000或者以后版本的计算机上的Internet Explorer。 您可以为浏览器用户界面，连接，URLs, 代理设置，安全区域，收藏夹以及Internet Explorer 增强安全设置组件(也称为Microsoft Internet Explorer 强化)设置相关选项。

文件夹重定向管理

您可以使用文件夹重定向，将Windows2000或者Windows Server 2003上指定的文件夹，从它们默认的用户配置文件所在位置，重定向到网络上另一个替换位置。这些文件架包括My Documents, Application Data, Desktop, 以及 Start 菜单。