與前一篇博文發表已經相去月余了,實在是有些不好意思了。感謝51CTO的大編們將小文加了推薦,這使我更加覺得自己產出太少,難於回饋大家的厚愛。
今天將這個系列的第二篇奉獻給大家,以伺視聽。
在上篇小文中,我們談及組策略管理工具——組策略管理器的使用,今天我們來談談組策略管理器管理的對象——GPO(組策略對象)。GPO是我們接下來的系列文章要重點討論的對象,那么什么是GPO呢?通俗地講,就是組策略的載體,在它的內部“裝載”了對於計算機和用戶的大大小小的配置選項,即“組策略”。在Windows 2008 R2中,這些策略一共有3000多條,涉及到域管理的方方面面。本文將對組策略對象進行初步探討。
首先,讓我們接續上篇博文。我們已經在beijing域中創建了一個名為market的OU,並創建了一個同樣名為market的GPO。現在,讓我們將鼠標定位在該GPO上,在控制台的右側的結果集中將顯示如圖一的畫面。
圖一
這幅圖上,大家可以看到4個標簽頁:作用域、詳細信息、設置、委派,它就是用來對GPO進行設置的。首先,讓我們看看“作用域”標簽頁上面的內容。此頁分上中下三個部分,最上面是“鏈接”。在此,你可以選擇此GPO能夠在什么位置顯示,默認是在所屬域中;還可以看到該GPO所鏈接的位置,以及目前的狀態是否啟用,是否是強制的,路徑是什么。這樣你可以非常直觀地了解此GPO的狀態。在中部,顯示“安全篩選”項。此處使你可以了解此GPO作用的對象,並可以添加和刪除對象,這些對象包括組、用戶和計算機。默認情況下,授權用戶這個內置安全主體為授權對象。最下面是WMI篩選器,用來配合Windows腳本自動定義該GPO的作用域。此內容屬於組策略高級管理范疇,會在今后的博文中予以介紹,敬請期待啊。呵呵呵。。。。
第二個標簽頁是:詳細信息,見圖二。
圖二
在該頁中,可以查看該GPO的詳細信息,包括:所屬域、所有者、創建及修改時間,最重要的的是用戶版本和計算機版本,這兩個版本指明了該GPO中關於用戶配置和計算機配置被更改的次數,以及這種更改在AD數據庫和SYSVOL中的狀態,即是否已經被同步到AD的數據庫中了。還有就是唯一ID和GPO狀態。
第三個標簽頁為“設置”,如圖三。
圖三
點擊“設置”標簽頁時,系統會搜集該GPO的詳細配置信息,並在結果集中呈現給用戶,以便用戶詳細了解對於哪些配置項進行了什么樣的配置,並可以將其導出或打印,非常方便。
第四個標簽頁是“委派”,熟悉Windows管理的用戶應該了解這是做權限配置的地方,見圖四。
圖四
類似於Windows中的權限設置,在此你可以添加用戶、組,並為它們設置對於該GPO的權限。這里要強調的是: 如果你想讓一個用戶應用該GPO的配置項,那么最少要給他讀取的權限。除此以外,還可以設置GPO的繼承性。關於組策略的權限和繼承方面的問題,將另文討論。
上面我們介紹了GPO的4個設置標簽頁的作用,接下來讓我們拿一個小例子來感性地領略一下GPO。在上篇文章中提到,組策略的鏈接遵從的是SDOU原則,即組策略只能作用於S——Site(站點)、D——Domain(域)、OU——Organizition Unit(組織單位)。我們已經創建了一個OU,並鏈接了一個GPO,那么是否屬於該OU的用戶就一定能夠應用該GPO的設置呢?我們用事實來證明!
首先,我們在market下創建兩個域用戶張三和李四,他們的登錄名分別是zhangsan和lisi,在默認狀態下,分別用這兩個用戶賬戶在客戶機上登錄,並打開瀏覽器來驗證結果(由於我們配置了更改瀏覽器標題的配置項)。
GPO默認狀態
張三登錄
張三登錄后瀏覽器標題變更的效果,同樣當李四登錄后也會收到同樣的效果。現在我們將GPO的配置稍微調整一下,將作用域標簽頁中安全篩選中的授權用戶刪除,並只添加張三,如下圖:
只有張三
同時在委派標簽中看到張三被授予讀取權限,而授權用戶組沒有了
我們再次將登錄用戶切換回張三,發現組策略的配置項對張三是生效的。此時,我們換李四來登錄並驗證,效果如下圖:
李四登錄
不起作用
從實驗結果來看,雖然組策略被鏈接在了OU上,但通過調整GPO的安全設置,可以做到為處於同一個OU容器中的不同對象配置不同的選項。當然,在更改了GPO的各種配置后別忘記更新,如圖:
組策略更新
對於用戶的組策略配置項的更新,只要用戶注銷后再登錄就可以應用,對於計算機的配置需要重啟計算機后才會被應用。
本文對於組策略的應用做了初步的探討,歡迎大家指正。
本文出自 “中國極道” 博客,請務必保留此出處http://loveunicom.blog.51cto.com/121558/382551