Windows 2000中的组策略简介

核心提示： gpedit.msc这个操作的作用与NT 4.0中的poledit.exe相同，可以打开本地策略文件，Windows 2000中的组策略简介(2)，第2种方法，可以通过在MMC控制台中选择GPE插件，可以在每个层次上定义几个GPO，因此如果不能严格地管理GPO，并选择本地或远程计算机来人工

gpedit.msc

这个操作的作用与NT 4.0中的poledit.exe相同，可以打开本地策略文件。第2种方法，可以通过在MMC控制台中选择GPE插件，并选择本地或远程计算机来人工地编辑本地GPO。

本地GPO支持除软件安装和文件夹重定向之外的所有缺省扩展，因此，只利用本地GPO你不能完成这些工作，如果想充分发挥GPO的功能，还是需要AD的支持。

GPO的多样性和继承

在AD中，可以在域、组织单位（OU）或地址三个不同的层次上定义GPO。OU是AD中的一个容器，可以指派它对用户、组、计算机等对象进行管理，地址是网络上子网的集合，地址形成了AD的复制分界线。GPO的名字空间被划分为计算机配置和用户配置两个大类，只有用户和计算机可以使用GPO，象打印机对象甚至用户组都不能应用GPO。

在一个域或组织单位（OU）中编辑策略的途径有几种。在活动目录用户或计算机MMC插件中，右击一个域或组织单位（OU），在菜单中选择“属性”，然后选择“组策略”标签。在编辑地址中的策略时，需要右击“活动目录地址和服务”插件，然后右击需要的地址得到其GPO。此外，还可以从“开始”菜单，选择“运行”，然后键入：

mmc.exe

启动MMC，选择“控制台”，“增加/删除”插件，然后选择“组策略”插件、“浏览”，在AD域内的GPO就会显示出来，可以选择一个GPO进行编辑。

根据GPO在AD名字空间中的不同位置，可以有几个GPO对用户对象或计算机对象起作用。只有域中的其他对象是通过继承生成时GPO才是通过继承生成的。Win2K通过下面的方式执行GPO，首先，操作系统执行现有的本地系统上的策略，然后，Win2K执行定义的地址级的GPO、域一级的GPO和基于OU的GPO，微软把这一优先顺序取其首个字母缩写为LSDOU（执行的顺序依次是本地、地址、域、OU层次的GPO），用户可以在这个链上的许多层次上定义GPO。我们以pilot域为例说明如何察看一个系统中的GPO，启动“活动目录用户和计算机MMC”工具，右击pilot域名，从菜单中选择“属性”项，然后选择组策略标签。在这个列表顶端的GPO（例如域范围的安全策略）有最高的优先权，因此，Win2K最后才会执行它。除了本地系统外，可以在每个层次上定义几个GPO，因此如果不能严格地管理GPO，就会出现不必要的问题。