組策略(英語(yǔ):Group Policy)是微軟Windows NT家族操作系統(tǒng)的一個(gè)特性,它可以控制用戶帳戶和計(jì)算機(jī)帳戶的工作環(huán)境。組策略提供了操作系統(tǒng)、應(yīng)用程序和活動(dòng)目錄中用戶設(shè)置的集中化管理和配置。組策略的其中一個(gè)版本名為本地組策略(縮寫“LGPO”或“LocalGPO”),這可以在獨(dú)立且非域的計(jì)算機(jī)上管理組策略對(duì)象。
操作組策略在部分意義上是控制用戶可以或不能在計(jì)算機(jī)上做什么,例如:施行密碼復(fù)雜性策略避免用戶選擇過于簡(jiǎn)單的密碼,允許或阻止身份不明的用戶從遠(yuǎn)程計(jì)算機(jī)連接到網(wǎng)絡(luò)共享,阻止訪問Windows任務(wù)管理器或限制訪問特定文件夾。這樣一套配置被稱為組策略對(duì)象(Group Policy Object,GPO)。1
作為微軟IntelliMirror技術(shù)的一部分,組策略旨在減少用戶支持成本。IntelliMirror技術(shù)涉及已斷開機(jī)器或漫游用戶的管理,并包括漫游用戶配置文件、文件夾重定向和脫機(jī)文件。
施行要完成一組計(jì)算機(jī)的中央管理目標(biāo),計(jì)算機(jī)應(yīng)該接收和執(zhí)行組策略對(duì)象。駐留在單臺(tái)計(jì)算機(jī)上的組策略對(duì)象僅適用該臺(tái)計(jì)算機(jī)。要應(yīng)用一個(gè)組策略對(duì)象到一個(gè)計(jì)算機(jī)組,組策略依賴于活動(dòng)目錄(或第三方產(chǎn)品,例如ZENworks Desktop Management)進(jìn)行分發(fā)?;顒?dòng)目錄可以分發(fā)組策略對(duì)象到一個(gè)Windows域中的計(jì)算機(jī)。
默認(rèn)情況下,Microsoft Windows每90分鐘刷新一次組策略,隨機(jī)偏移30分鐘。在域控制器上,Microsoft Windows每隔5分鐘刷新一次。在刷新時(shí),它會(huì)發(fā)現(xiàn)、獲取和應(yīng)用所有適用這臺(tái)計(jì)算機(jī)和已登錄用戶的組策略對(duì)象。某些設(shè)置,例如自動(dòng)化軟件安裝、驅(qū)動(dòng)器映射、啟動(dòng)腳本或登錄腳本,只在啟動(dòng)或用戶登錄時(shí)應(yīng)用。從Windows XP開始,用戶可以從命令行提示符使用gpupdate命令手動(dòng)啟動(dòng)組策略刷新。
組策略對(duì)象會(huì)按照以下順序(從上向下)處理:
本地- 任何在本地計(jì)算機(jī)的設(shè)置。在Windows Vista之前,每臺(tái)計(jì)算機(jī)只能有一份本地組策略。在Windows Vista和之后的Windows版本中,允許每個(gè)用戶帳戶分別擁有組策略。
站點(diǎn)- 任何與計(jì)算機(jī)所在的活動(dòng)目錄站點(diǎn)關(guān)聯(lián)的組策略。(活動(dòng)目錄站點(diǎn)是旨在管理促進(jìn)物理上接近的計(jì)算機(jī)的一種邏輯分組)。如果多個(gè)策略已鏈接到一個(gè)站點(diǎn),將按照管理員設(shè)置的順序處理。
域- 任何與計(jì)算機(jī)所在Windows域關(guān)聯(lián)的組策略。如果多個(gè)策略已鏈接到一個(gè)域,將按照管理員設(shè)置的順序處理。
組織單元- 任何與計(jì)算機(jī)或用戶所在的活動(dòng)目錄組織單元(OU)關(guān)聯(lián)的組策略。(OU是幫助組織和管理一組用戶、計(jì)算機(jī)或其他活動(dòng)目錄對(duì)象的邏輯單元)。如果多個(gè)策略已鏈接到一個(gè)OU,將按照管理員設(shè)置的順序處理。
應(yīng)用到指定計(jì)算機(jī)或用戶的組策略設(shè)置結(jié)果被稱為策略結(jié)果集(RSoP)??梢允褂胓presult命令顯示計(jì)算機(jī)和用戶的RSoP信息。
繼承組策略設(shè)置內(nèi)部是一個(gè)分層結(jié)構(gòu),父?jìng)髯印⒆觽鲗O,以此類推,這被稱為“繼承”。它可以控制阻止或施行策略應(yīng)用到每個(gè)層級(jí)。如果高級(jí)別的管理員創(chuàng)建了一個(gè)具有繼承性的策略,而低層級(jí)的管理員策略與此相悖,此策略仍將生效。
在組策略偏好設(shè)置已配置并且同等的組策略設(shè)置已配置時(shí),組策略設(shè)置將會(huì)優(yōu)先。
過濾WMI過濾是組策略通過Windows管理規(guī)范(WMI)過濾器來選擇應(yīng)用范圍的一個(gè)流程。過濾器允許管理員只應(yīng)用組策略到特定情況,例如特定型號(hào)、內(nèi)存、已安裝軟件或任何WMI可查詢條件的特定情況的計(jì)算機(jī)。
本地組策略本地組策略(Local Group Policy,縮寫LGP或LocalGPO)是組策略的基礎(chǔ)版本,它面向獨(dú)立且非域的計(jì)算機(jī)。至少Windows XP家庭版中它就已經(jīng)存在,并且可以應(yīng)用到域計(jì)算機(jī)。在Windows Vista以前,LGP可以強(qiáng)制施行組策略對(duì)象到單臺(tái)本地計(jì)算機(jī),但不能將策略應(yīng)用到用戶或組。從Windows Vista開始,LGP允許本地組策略管理單個(gè)用戶和組,并允許使用“GPO Packs”在獨(dú)立計(jì)算機(jī)之間備份、導(dǎo)入和導(dǎo)出組策略——組策略容器包含導(dǎo)入策略到目標(biāo)計(jì)算機(jī)的所需文件。
組策略偏好曾經(jīng)有一批組策略設(shè)置擴(kuò)展,它被稱為PolicyMaker。微軟購(gòu)買了PolicyMaker并將其集成到Windows Server 2008。微軟之后發(fā)布了遷移工具,允許用戶遷移PolicyMaker設(shè)置項(xiàng)到組策略偏好。
組策略偏好添加了許多新的配置項(xiàng)。這些偏好中有大量的目標(biāo)選項(xiàng),可以用來精確控制要設(shè)置的應(yīng)用程序。
組策略偏好兼容x86和x64版本的Windows XP、Windows Server 2003和Windows Vista加Client Side Extensions(也稱CSE)。
Client Side Extensions現(xiàn)已集成到Windows Server 2008、Windows 7和Windows Server 2008 R2。
組策略管理控制臺(tái)在最初,組策略是使用“組策略編輯”工具進(jìn)行修改,它與活動(dòng)目錄用戶和計(jì)算機(jī)的微軟管理控制臺(tái)(MMC)插件集成,但后來它被分區(qū)成一個(gè)獨(dú)立的MMC插件,被稱為組策略管理控制臺(tái)。組策略管理控制臺(tái)現(xiàn)在是Windows Server 2008和Windows Server 2008 R2中的一個(gè)用戶組件,并在Windows Vista和Windows 7中作為一個(gè)“遠(yuǎn)程服務(wù)器管理工具”可下載組件。
高級(jí)組策略管理微軟發(fā)布過一個(gè)稱之為“高級(jí)組策略管理”(Advanced Group Policy Management)的工具來更改組策略。此工具可供任何微軟桌面優(yōu)化包授權(quán)的組織使用。此高級(jí)工具允許管理員檢查/簽出組策略對(duì)象的更改,跟蹤組策略對(duì)象的變更,以及對(duì)組策略對(duì)象的更改實(shí)施審核工作流。
AGPM工具由兩個(gè)部分組成——服務(wù)器和客戶端。服務(wù)器是一個(gè)Windows服務(wù),它在同一臺(tái)計(jì)算機(jī)或網(wǎng)絡(luò)共享上的存檔位置存儲(chǔ)其組策略對(duì)象。客戶端是組策略管理控制臺(tái)的一個(gè)插件,并連接到AGPM服務(wù)器??蛻舳丝赏ㄟ^組策略配置。
安全組策略設(shè)置是由目標(biāo)應(yīng)用程序自愿實(shí)施的。在許多情況下,這只是禁止訪問特定功能的用戶接口。
另外,惡意用戶可以修改或干擾應(yīng)用程序,使其不能成功讀取組策略設(shè)置,從而實(shí)行更低或者默認(rèn)的安全設(shè)置。
Windows 8增強(qiáng)Windows 8引入了被稱為“組策略更新”的一個(gè)新功能。此功能允許管理員強(qiáng)制在特定組織單位的所有計(jì)算機(jī)帳戶上更新一個(gè)組策略。這會(huì)在計(jì)算機(jī)上創(chuàng)建一個(gè)計(jì)劃任務(wù),在10分鐘內(nèi)運(yùn)行GPUPDATE命令,具體開始時(shí)間隨機(jī)調(diào)整,以免域控制器過載。
“組策略基礎(chǔ)設(shè)施狀態(tài)”已被引入,這可以報(bào)告任何“組策略對(duì)象”是否沒有正確復(fù)制域控制器。
“組策略結(jié)果報(bào)告”也是一個(gè)新功能,它會(huì)在執(zhí)行“組策略更新”時(shí)執(zhí)行。2
本詞條內(nèi)容貢獻(xiàn)者為:
王沛 - 副教授、副研究員 - 中國(guó)科學(xué)院工程熱物理研究所