与前一篇博文发表已经相去月余了,实在是有些不好意思了。感谢51CTO的大编们将小文加了推荐,这使我更加觉得自己产出太少,难于回馈大家的厚爱。
今天将这个系列的第二篇奉献给大家,以伺视听。
在上篇小文中,我们谈及组策略管理工具——组策略管理器的使用,今天我们来谈谈组策略管理器管理的对象——GPO(组策略对象)。GPO是我们接下来的系列文章要重点讨论的对象,那么什么是GPO呢?通俗地讲,就是组策略的载体,在它的内部“装载”了对于计算机和用户的大大小小的配置选项,即“组策略”。在Windows 2008 R2中,这些策略一共有3000多条,涉及到域管理的方方面面。本文将对组策略对象进行初步探讨。
首先,让我们接续上篇博文。我们已经在beijing域中创建了一个名为market的OU,并创建了一个同样名为market的GPO。现在,让我们将鼠标定位在该GPO上,在控制台的右侧的结果集中将显示如图一的画面。
图一
这幅图上,大家可以看到4个标签页:作用域、详细信息、设置、委派,它就是用来对GPO进行设置的。首先,让我们看看“作用域”标签页上面的内容。此页分上中下三个部分,最上面是“链接”。在此,你可以选择此GPO能够在什么位置显示,默认是在所属域中;还可以看到该GPO所链接的位置,以及目前的状态是否启用,是否是强制的,路径是什么。这样你可以非常直观地了解此GPO的状态。在中部,显示“安全筛选”项。此处使你可以了解此GPO作用的对象,并可以添加和删除对象,这些对象包括组、用户和计算机。默认情况下,授权用户这个内置安全主体为授权对象。最下面是WMI筛选器,用来配合Windows脚本自动定义该GPO的作用域。此内容属于组策略高级管理范畴,会在今后的博文中予以介绍,敬请期待啊。呵呵呵。。。。
第二个标签页是:详细信息,见图二。
图二
在该页中,可以查看该GPO的详细信息,包括:所属域、所有者、创建及修改时间,最重要的的是用户版本和计算机版本,这两个版本指明了该GPO中关于用户配置和计算机配置被更改的次数,以及这种更改在AD数据库和SYSVOL中的状态,即是否已经被同步到AD的数据库中了。还有就是唯一ID和GPO状态。
第三个标签页为“设置”,如图三。
图三
点击“设置”标签页时,系统会搜集该GPO的详细配置信息,并在结果集中呈现给用户,以便用户详细了解对于哪些配置项进行了什么样的配置,并可以将其导出或打印,非常方便。
第四个标签页是“委派”,熟悉Windows管理的用户应该了解这是做权限配置的地方,见图四。
图四
类似于Windows中的权限设置,在此你可以添加用户、组,并为它们设置对于该GPO的权限。这里要强调的是: 如果你想让一个用户应用该GPO的配置项,那么最少要给他读取的权限。除此以外,还可以设置GPO的继承性。关于组策略的权限和继承方面的问题,将另文讨论。
上面我们介绍了GPO的4个设置标签页的作用,接下来让我们拿一个小例子来感性地领略一下GPO。在上篇文章中提到,组策略的链接遵从的是SDOU原则,即组策略只能作用于S——Site(站点)、D——Domain(域)、OU——Organizition Unit(组织单位)。我们已经创建了一个OU,并链接了一个GPO,那么是否属于该OU的用户就一定能够应用该GPO的设置呢?我们用事实来证明!
首先,我们在market下创建两个域用户张三和李四,他们的登录名分别是zhangsan和lisi,在默认状态下,分别用这两个用户账户在客户机上登录,并打开浏览器来验证结果(由于我们配置了更改浏览器标题的配置项)。
GPO默认状态
张三登录
张三登录后浏览器标题变更的效果,同样当李四登录后也会收到同样的效果。现在我们将GPO的配置稍微调整一下,将作用域标签页中安全筛选中的授权用户删除,并只添加张三,如下图:
只有张三
同时在委派标签中看到张三被授予读取权限,而授权用户组没有了
我们再次将登录用户切换回张三,发现组策略的配置项对张三是生效的。此时,我们换李四来登录并验证,效果如下图:
李四登录
不起作用
从实验结果来看,虽然组策略被链接在了OU上,但通过调整GPO的安全设置,可以做到为处于同一个OU容器中的不同对象配置不同的选项。当然,在更改了GPO的各种配置后别忘记更新,如图:
组策略更新
对于用户的组策略配置项的更新,只要用户注销后再登录就可以应用,对于计算机的配置需要重启计算机后才会被应用。
本文对于组策略的应用做了初步的探讨,欢迎大家指正。
本文出自 “中国極道” 博客,请务必保留此出处http://loveunicom.blog.51cto.com/121558/382551