Windows 2000局域网的组策略管理
2007-02-20 12:15:19 来源:WEB开发网在Windows 2000操作系统中,我们可以使用“组策略”为用户和计算机组定义用户和计算机的配置。通过使用“组策略”,Microsoft管理控制台(MMC)可以为特定用户和计算机组创建个性化的配置。“组策略”配置包含在一个“组策略对象”(GPO) 中,该对象又与选定的Active Directory服务容器如站点、域或组织单位(OU) 等相关联。组策略对象包括两种对象──非本地和本地的组策略对象。
存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。
本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象,而且它有一个在非本地组策略对象中可用的设置子集。如果二者的设置发生冲突,非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突,则都可以应用。
使用组策略,我们可以对用户工作环境状态只定义一次,然后靠系统实施管理员定义的策略,对用户和计算机进行管理。
一、组策略安全概述
组策略包括应用于域或计算机组的大量安全权限配置文件。一个组策略对象可以应用到局域网内的所有计算机。单个计算机启动时,组策略得以应用,如果作出改动时没有重新启动计算机,组策略会得到定期刷新。
1、组策略工作原理
组策略与Active Directory用户中的域和文件夹以及MMC管理单元相关联。组策略授予的权限应用到存储于该文件夹中的计算机上。使用Active Directory站点和服务管理单元还可将组策略应用到站点。子文件夹从父文件夹继承组策略,子文件夹也可能依次有自己的组策略对象。指派给一个文件夹的组策略可能不止一个。组策略是安全组的补充,可以将单一安全配置文件应用到多台计算机上。它加强了一致性并易于管理。组策略对象包含实现多种类型安全策略的权限和参数。总之,组策略可由父站点传递到子站点和局域网。如果将一个特定组策略指派给高级的父站点,这个组策略会应用到父等级以下所有站点,包括每个容器中的用户和计算机对象。
更多精彩
赞助商链接