什么是组策略|活动目录域AD Group Policy Collection之一

什么是组策略|活动目录域AD Group Policy Collection之一此文译自 Group Policy Collection

组策略是一个允许您执行针对用户和计算机进行配置的基础架构。组策略设定包含在组策略对象中(GPOs)，它们被链接到这些活动目录服务的容器：站点，域或者组织单元(OUs)。这些GPO中的设置随后利用活动目录的层级性质，实施于受影响的对象。因此，组策略是部署活动目录的一个最主要的原因之一，因为它能够让您方便的管理用户和计算机对象。

组策略是组管理技术之一，这些统称为IntelliMirror® 管理技术，即便用户从网络中脱离，仍然可以在任意被管理的计算机上向用户提供统一的应用程序，应用程序设定，漫游用户配置文件以及用户用户数据。IntelliMirror 通过一组Microsoft® Windows® 功能得以实现，这包括活动目录，群组策略，软件安装，Windows Installer，文件夹重定向，脱机文件夹以及漫游用户配置文件。

这个集合包括如下组策略领域的内容：您看到的文章来自活动目录 seo http://gnaw0725.blogbus.com/c1404552/

• 核心群组策略

• 组策略组件

• 组策略管理工具

此章节介绍组策略管理的概念和结构，概述组策略集合的内容以及描述组策略设定。

组策略管理

管理员面对IT架构中日益复杂的挑战，您必须为各类员工发布、维护定制的桌面设定，如移动用户，信息工作者以及其他严格界定工作任务的用户，比如数据录入。安全设定和更新必须有效的传递给组织中的所有计算机和设备。而用户不必经过昂贵的培训就可以投入生产。在遭遇计算机崩溃或者灾难性事件中，服务必须在最小数据丢失和中断下恢复。所有这些任务，总所周知的改变和设置管理，必须尽可能低开小的情况下完成。您需要能够做到快速的执行变更以及对于大量用户和计算机实施。组策略就是允许您在活动目录中基于对象一级执行变更的基础结构。

您需要能够一次定义这些设置，依靠操作系统强制执行状态。使用活动目录，可以将GPOs 链接到站点，域以及，允许将组策略设置应用到用户和计算机。另外，通过对于一些针对服务器操作和安全性的设定，GPOs 可以协助管理服务器。这个基础架构具有很强的适应能力，允许您自定义配置，诸如为一个ou中，基于成员关系的用户，发布指定的软件。另外，组策略管理控制台(GPMC) 简化拉群组策略的执行和管理。

组策略结构

组策略采用一个中央文档的方法去创建，存储和关联组策略设置。与Microsoft Word 将信息存储在.doc 文件的发放相类似，组策略设置存储在GPO中。GPO 是个虚拟的对象，组策略设置信息存储在两个位置：链接GPO的活动目录容器和域控制器上的Sysvol 。

设置组策略主要通过两个工具:组策略对象编辑器，(以前大家知道是使用组策略插件，组策略编辑器或者Gpedit) 和组策略管理控制台(GPMC)，它们都可以从Microsoft 网站上下载到。组策略对象编辑器用户设置修改GPO中的设置，而 GPMC 用于创建、查看和管理GPO。下图中展示了组策略架构，以及各祖尧组件是如何通过读写访问互相影响的。随后的表格中描述了各相关组件。

组策略结构

组策略组件

组件	描述
服务器 (域控制器)	在活动目录森林中，域控制器是一台包含活动目录数据库的拷贝，参与活动目录复制以及控制网络资源访问服务器，
活动目录	活动目录，基于Windows目录服务，存储网络中对象的信息，并将信息提供给用户和网络管理员。管理员将GPOs 链接到诸如站点，域和OUs 等包含了用户和计算机对象的容器上，从而将组策略设置实施于组织中的用户和计算机。
组策略对象(GPO)	GPO是一个组策路设置的集合，作为一个虚拟的对象存储在域中，由组策略容器(GPC) 和组策略模板(GPT)组成。GPC，包含GPO的属性信息，存储在域中每台域控制器活动目录中。GPT 包含GPO 的数据，存储在Sysvol 的 /Policies 子目录下。GPO能够影响包含在站点，域和OU中的用户和计算机。
Sysvol	Sysvol 是一个共享目录，存储了域中公用文件的副本，此副本在域中所有的域控制器之间同步。 Sysvol 包含了GPO中的数据: GPT，包含了基于组策略设置，安全设置，脚本文件以及关于软件安装应用程序的相关信息的管理模板。它通过文件复制服务 (FRS)得以同步。
本地组策略对象	本地组策略对象(local GPO)存储在每台个人计算机上的%systemroot%\System32\GroupPolicy 目录下，具有隐藏属性。每一台运行Windows 2000, Windows XP Professional, Windows XP 64-Bit Edition, Windows XP Media Center Edition或者 Windows Server™ 2003 的计算机，不论它是否处于活动目录环境中，都设置了严格的local GPO。
	Local GPOs 不支持某些扩展，比如文件夹重定向或者软件安装组策略。也不支持一些安全性设定，但组策略对象编辑器的安全设定扩展不支持local GPO的远程管理。Local GPOs 始终在执行，但它在活动目录环境中影响力最小，因为基于活动目录的GPOs 优先。
	尽管您可以在个人计算机上设置local GPO，但组策略的完整功能只有在安装了活动目录的Windows Server 网络中方能得以实现。另外，一些功能和组策略设置在客户端需要Windows XP的支持
组策略对象编辑器	组策略对象编辑器是一个微软管理控制台(MMC)单元，用于编辑GPO。之前是组策略管理单元，组策略编辑器或者Gpedit.
服务端管理单元	MMC 管理单元默认情况下被组策略对象编辑器加载。当客户端扩展在目标客户端计算机上执行实际的策略设置的时候，服务端管理单元扩展提供用户接口，允许您设置不同的策略设置。
服务端管理单元	管理单元扩展包括管理模板，脚本，安全性设定，软件安装，文件夹重定向，远程安装服务，Internet Explorer 维护，磁盘配额，无线网络策勒以及QoS Packet Scheduler. 管理单元可以被扩展，比如安全设置管理单元包括几个扩展管理单元。开发者也可以创建他们自己的MMC扩展管理单元，使得足策略对象编辑器提供附加的组策略设置。
客户端扩展	客户端扩展(CSEs) 在动态链接库 (DLLs)中运行，为组策略在客户端计算机上的执行负责。缺省状态下Windows Server 2003装载如下CSE:
客户端扩展	管理模板，无线网络策略，文件夹重定向，磁盘配额， QoS Packet Scheduler，脚本，安全， Internet Explorer 维护，EFS 恢复，软件安装以及IP 安全
组策略管理控制台 (GPMC)	GPMC 是一个新的进行组策略单一化执行和管理工具。它由一个新的管理单元和组策略管理的脚本集合组成。组策略管理控制台提供：
	• 一个基于如何定制使用和管理组策略的用户界面，这比之前基于技术如何构建要来的好。
	• 导入/导出，复制/粘贴和GPO的搜索
	• 组策略相关安全的单一化管理
	• 对于GPO和策略结果集 (RSoP)数据的报表(对于GPO的打印，保存，只读访问)
	• GPO的备份/恢复
	• 用此工具查看GPO操作脚本 (但不能查看GPO中设置的脚本).
策略结果集管理单元(RSoP)	策略结果集 (RSoP) 管理单元是一个单一的组策略执行和错误排查的MMC 管理单元。RSoP 使用Windows管理规范 (WMI) 测定组策略设定是如何被应用到用户和计算机商的。对于RSoP功能性来说，它建议在GPMC中使用此报表功能。
Winlogon	Windows 操作系统中提供交互式登陆支持的组件，Winlogon 是组策略引擎运行的服务。.
组策略引擎	组策略引擎是一个扩越客户端扩展，包括组策路运作排程，从相关设置定位中获取GPO以及GPO的排序和过滤，处理共处理公用功能性的框架。
文件系统	存在于客户端计算机上的NTFS 文件系统
注册表	一个关于计算机设置信息的存储数据库，注册表包含系统操作期间Windows不断设计的信息，比如：
	1. 每个用户的配置文件。
	2. 安装在计算机上的程序和每个能够创建的文档类型。
	3. 文件夹和程序图标的属性设置。
	4. 系统硬件
	5. 使用中的端口
	注册表是树状层级组织，它由键及其子键，配置单元以及注册项构成。注册表引擎对于注册表具有读写权限。注册表设置可以通过组策略管理模板扩展来控制。
事件日志	事件日志是一个服务，处于事件查看器，在系统，安全和应用程序日志中记录事件。组策略引擎对于客户端和域控制器上的事件日志具有写访问。
帮助和支持中心	帮助和支持中心是一个存在于每台计算机上的组件，为作用于计算机上的组策略设置提供HTML报表。
策略结果集 (RSoP) 基础结构	所有的组策略执行信息被收集、储存在本地计算机上的共用信息模型对象管理(CIMOM)数据库中，这个信息，例如列表、目录和每个GPO处理的详细记录，可以被使用WMI的工具访问。
策略结果集 (RSoP) 基础结构	在日志模式(组策略结果)，RSoP 查询目标计算机上的CIMOM 数据库，获取关于策略的相关信息并将其显示在GPMC中。在规划模式(组策略模型), RSoP 虚拟出域控制器上使用组策勒目录访问服务(GPDAS)的策略运作环境，由GPDAS模仿GPO运作，并将它们传递给域控制器上的虚拟客户端扩展，这个模拟过程的结果在回传并显示在GPMC之前，存储在本地CIMOM 数据库中。
WMI	WMI是一个管理的基础架构，它支持通过一组公用界面实施系统资源的监视和控制，同时提供一个逻辑上有组织的，一致的Windows 操作、配置信息和状态模型。
WMI	WMI收集目标计算机的相关数据用于管理用途，这些数据包括硬件和软件列表，设置和配置信息。例如：WMI公开诸如CPU，内存，磁盘空间，内存和厂商等硬件信息，从注册表，驱动程序，文件系统，活动目录，Windows Installer服务，网络配置和应用程序数据中获取软件信息。Windows Server2003上的WMI 过滤允许您给予这些数据创建查询，这些查询（也称为WMI过滤器）检测，在您创建顾虑其的地方，用户和计算机将会接受到的所有的策略设置。