Windows 2000局域网的组策略管理

在Windows 2000操作系统中，我们可以使用“组策略”为用户和计算机组定义用户和计算机的配置。通过使用“组策略”，Microsoft管理控制台（MMC）可以为特定用户和计算机组创建个性化的配置。“组策略”配置包含在一个“组策略对象”(GPO) 中，该对象又与选定的Active Directory服务容器如站点、域或组织单位(OU) 等相关联。组策略对象包括两种对象──非本地和本地的组策略对象。
存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。

本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象，而且它有一个在非本地组策略对象中可用的设置子集。如果二者的设置发生冲突，非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突，则都可以应用。

使用组策略，我们可以对用户工作环境状态只定义一次，然后靠系统实施管理员定义的策略，对用户和计算机进行管理。

一、组策略安全概述

组策略包括应用于域或计算机组的大量安全权限配置文件。一个组策略对象可以应用到局域网内的所有计算机。单个计算机启动时，组策略得以应用，如果作出改动时没有重新启动计算机，组策略会得到定期刷新。

1、组策略工作原理

组策略与Active Directory用户中的域和文件夹以及MMC管理单元相关联。组策略授予的权限应用到存储于该文件夹中的计算机上。使用Active Directory站点和服务管理单元还可将组策略应用到站点。子文件夹从父文件夹继承组策略，子文件夹也可能依次有自己的组策略对象。指派给一个文件夹的组策略可能不止一个。组策略是安全组的补充，可以将单一安全配置文件应用到多台计算机上。它加强了一致性并易于管理。组策略对象包含实现多种类型安全策略的权限和参数。总之，组策略可由父站点传递到子站点和局域网。如果将一个特定组策略指派给高级的父站点，这个组策略会应用到父等级以下所有站点，包括每个容器中的用户和计算机对象。