組策略的存在時(shí)間已經(jīng)超過了15年。每個(gè)Windows Server版本中都會(huì)引入新特性,但是組策略的基礎(chǔ)內(nèi)容自從Windows 2000引入以來基本上沒有發(fā)生變化。
通過使用組策略,Windows管理員可以為用戶和計(jì)算機(jī)實(shí)現(xiàn)特定的配置以及定義安全、用戶和網(wǎng)絡(luò)策略。這些設(shè)置集合在一起叫做組策略對(duì)象(Group Policy Object,GPO)。
Windows Server 2016的配置過程作了一些調(diào)整,但組策略的設(shè)置仍應(yīng)用在本地、站點(diǎn)、域和組織單元(OU)級(jí)別。GPO的級(jí)別是很重要的,因?yàn)樾虏呗詴?huì)覆蓋先前應(yīng)用的策略。以防萬一,管理員應(yīng)該在較高的級(jí)別進(jìn)行設(shè)置,因?yàn)榧?jí)別越高影響到的用戶就越多。相反,特定的設(shè)置應(yīng)該設(shè)置在較低的級(jí)別,這樣就不容易被遺漏。
管理員可以使用多種方法對(duì)組策略進(jìn)行管理,包括本地組策略編輯器、組策略管理控制臺(tái)(GPMC)和PowerShell。本地組策略編輯器是微軟管理控制臺(tái)一個(gè)嵌入式的管理單元。PowerShell命令自Windows Server 2008版本開始引入 。
雖然有這么多工具和方法,但學(xué)習(xí)如何使用卻有些讓人望而生畏。但是Jeremy Moskowitz的書《Group Policy: Fundamentals, Security, and the Managed Desktop》(《組策略:基本原理、安全與托管桌面》)可以幫助管理員學(xué)習(xí)并駕馭組策略。
Moskowitz建議管理員設(shè)置一個(gè)測試實(shí)驗(yàn)室,以及一個(gè)真正的機(jī)器或者虛擬硬件,按照書中的例子學(xué)習(xí)配置和安裝流程。下面是第一章摘錄,更多細(xì)節(jié)可以下載閱讀:
用戶和計(jì)算機(jī)節(jié)點(diǎn)下的第一級(jí)別包含軟件設(shè)置、Windows設(shè)置和管理模板。打開計(jì)算機(jī)的管理模板節(jié)點(diǎn),我們會(huì)發(fā)現(xiàn)額外的級(jí)別,包括Windows組件、系統(tǒng)、忘了和打印機(jī)。同樣,用戶節(jié)點(diǎn)的管理模板下包含了相同的文件夾以及其他一些,包括共享文件夾、桌面、開始菜單和任務(wù)欄。
在用戶和計(jì)算機(jī)部分,你會(huì)發(fā)現(xiàn)策略設(shè)置是分等級(jí)的,就像一個(gè)目錄結(jié)構(gòu)。相似的組策略設(shè)置集合在一起方便查詢。不過這是理想的——不可否認(rèn),有時(shí)候想要找到某個(gè)具體的策略或配置事實(shí)上極具挑戰(zhàn)。