操作
組策略在部分意義上是控制用戶可以或不能在計算機上做什麼,例如:施行密碼複雜性策略避免用戶選擇過於簡單的密碼,允許或阻止身份不明的用戶從遠程計算機連線到網路共享,阻止訪問
Windows任務管理器或限制訪問特定資料夾。這樣一套配置被稱為組策略對象(Group Policy Object,GPO)。
作為微軟IntelliMirror技術的一部分,組策略旨在減少用戶支持成本。IntelliMirror技術涉及已斷開機器或漫遊用戶的管理,並包括漫遊用戶配置檔案、資料夾重定向和脫機檔案。
施行
要完成一組計算機的中央管理目標,計算機應該接收和執行組策略對象。駐留在單台計算機上的組策略對象僅適用該台計算機。要套用一個組策略對象到一個計算機組,組策略依賴於
活動目錄(或第三方產品,例如ZENworks Desktop Management)進行分發。活動目錄可以分發組策略對象到一個Windows域中的計算機。
默認情況下,Microsoft Windows每90分鐘刷新一次組策略,隨機偏移30分鐘。在
域控制器上,Microsoft Windows每隔5分鐘刷新一次。在刷新時,它會發現、獲取和套用所有適用這台計算機和已登錄用戶的組策略對象。某些設定,例如自動化軟體安裝、驅動器映射、啟動腳本或登錄腳本,只在啟動或用戶登錄時套用。從
Windows XP開始,用戶可以從命令行提示符使用gpupdate命令手動啟動組策略刷新。
組策略對象會按照以下順序(從上向下)處理:
本地- 任何在本地計算機的設定。在Windows Vista之前,每台計算機只能有一份本地組策略。在Windows Vista和之後的Windows版本中,允許每個用戶帳戶分別擁有組策略。
站點- 任何與計算機所在的
活動目錄站點關聯的組策略。(活動目錄站點是旨在管理促進物理上接近的計算機的一種邏輯分組)。如果多個策略已連結到一個站點,將按照管理員設定的順序處理。
域- 任何與計算機所在Windows域關聯的組策略。如果多個策略已連結到一個域,將按照管理員設定的順序處理。
組織單元- 任何與計算機或用戶所在的活動目錄組織單元(OU)關聯的組策略。(OU是幫助組織和管理一組用戶、計算機或其他活動目錄對象的邏輯單元)。如果多個策略已連結到一個OU,將按照管理員設定的順序處理。
套用到指定計算機或用戶的組策略設定結果被稱為策略結果集(RSoP)。可以使用gpresult命令顯示計算機和用戶的RSoP信息。
繼承
組策略設定內部是一個分層結構,父傳子、子傳孫,以此類推,這被稱為“繼承”。它可以控制阻止或施行策略套用到每個層級。如果高級別的管理員創建了一個具有繼承性的策略,而低層級的管理員策略與此相悖,此策略仍將生效。
在組策略偏好設定已配置並且同等的組策略設定已配置時,組策略設定將會優先。
過濾
WMI過濾是組策略通過Windows管理規範(WMI)過濾器來選擇套用範圍的一個流程。過濾器允許管理員只套用組策略到特定情況,例如特定型號、記憶體、已安裝軟體或任何WMI可查詢條件的特定情況的計算機。
本地組策略
本地組策略(Local Group Policy,縮寫LGP或LocalGPO)是組策略的基礎版本,它面向獨立且非域的計算機。至少Windows XP家庭版中它就已經存在,並且可以套用到域計算機。在Windows Vista以前,LGP可以強制施行組策略對象到單台本地計算機,但不能將策略套用到用戶或組。從Windows Vista開始,LGP允許本地組策略管理單個用戶和組,並允許使用“GPO Packs”在獨立計算機之間備份、導入和導出組策略——組策略容器包含導入策略到目標計算機的所需檔案。
組策略偏好
曾經有一批組策略設定擴展,它被稱為PolicyMaker。微軟購買了PolicyMaker並將其集成到
Windows Server 2008。微軟之後發布了遷移工具,允許用戶遷移PolicyMaker設定項到組策略偏好。
組策略偏好添加了許多新的配置項。這些偏好中有大量的目標選項,可以用來精確控制要設定的應用程式。
組策略偏好兼容x86和x64版本的Windows XP、Windows Server 2003和Windows Vista加Client Side Extensions(也稱CSE)。
組策略管理控制台
高級組策略管理
微軟發布過一個稱之為“高級組策略管理”(Advanced Group Policy Management)的工具來更改組策略。此工具可供任何微軟桌面最佳化包授權的組織使用。此高級工具允許管理員檢查/簽出組策略對象的更改,跟蹤組策略對象的變更,以及對組策略對象的更改實施審核工作流。
AGPM工具由兩個部分組成——伺服器和客戶端。伺服器是一個
Windows服務,它在同一台計算機或網路共享上的存檔位置存儲其組策略對象。客戶端是組策略管理控制台的一個外掛程式,並連線到AGPM伺服器。客戶端可通過組策略配置。
安全
組策略設定是由目標應用程式自願實施的。在許多情況下,這只是禁止訪問特定功能的用戶接口。
另外,惡意用戶可以修改或干擾應用程式,使其不能成功讀取組策略設定,從而實行更低或者默認的安全設定。
Windows 8增強
Windows 8引入了被稱為“組策略更新”的一個新功能。此功能允許管理員強制在特定組織單位的所有計算機帳戶上更新一個組策略。這會在計算機上創建一個計畫任務,在10分鐘內運行GPUPDATE命令,具體開始時間隨機調整,以免域控制器過載。
“組策略基礎設施狀態”已被引入,這可以報告任何“組策略對象”是否沒有正確複製域控制器。
“組策略結果報告”也是一個新功能,它會在執行“組策略更新”時執行。