英语译文.docx
- 文档编号:18591743
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:17
- 大小:28.30KB
英语译文.docx
《英语译文.docx》由会员分享,可在线阅读,更多相关《英语译文.docx(17页珍藏版)》请在冰点文库上搜索。
英语译文
第一章
组策略的概述
目录(在这一章):
了解组策略.......................................4
使用和实施组策略..............................6
组策略入门..................................7
了解组策略所需的基础设施..........10
审查GPO的关系(设置GPO)和默认GPOs............................12
总结.......................................................19
在本章,我们将介绍组策略。
你将学到组策略是做什么的,它是怎样被用于域和工作组的设置中,以及实施组策略需要什么基础设施。
如果你要搭建一个AD目录服务的网络环境,你需要组策略。
就是这么回事。
毫无疑问,没有一点问题。
你面对的真正的问题是给你组织的架构和需求如何最大限度的运用组策略提供的。
为什么?
因为组策略意味着你作为管理员的生活变的更容易。
微软发明组策略这个术语是为了描述能够允许你一起设置组策略同时把它们运用到离散集合(不相干记录)的技术。
实际上,组策略是一组为了简化管理共同的、重复的以及独特的任务而又难以手工实施但是可以被自动化执行的策略设置(例如部署新的软件或者强制执行能够安装在电脑上的程序)。
相关信息
■关于域名服务器体系结构的信息,参考MicrosoftWindowsServer2003InsideOut(微软服务器2003视窗)的第26章(微软出版,2004)。
■关于活动目录系结构的信息,参考MicrosoftWindowsServer2003InsideOut的第32章。
■关于组策略实施的信息,参考本书的第四章。
了解组策略
组策略提供了一种方便高效的方法来管理计算机和用户设置。
组策略做什么
通过组策略,你能用完成(manage)设置一个用户或者一台计算机的方法完成设置成千的用户或者计算机——无需离开你的办公桌(座位)。
对于这些,你可以使用一个或多个管理工具改变设置成期望值,同时通过网络把这些改变应用到一段期望的用户和计算机或者任意一个用户和计算机。
一种理解思路是组策略好比一组规则能够帮助你管理用户和计算机。
尽管缺乏一致的理解,用这种思路理解组策略可能比以前的更直观。
仍然不可思议?
想想在组策略(出现)之前,许多组策略的管理改变只能通过修改Windows注册表,每一个改变不得不单独的在每一台目标主机上进行。
随时间变化,实施的棘手,可能会导致灾难性后果?
当然了。
进入组策略,凭借它你可以简单的使用或者取消一个策略调整注册表键值或者其它设置,这些改变在组策略下次刷新时能够被自动的应用到你指定的每台计算机上。
由于改变能够被效仿(通过组策略控制台)在修改被应用之前,(因此)你可以确定每一个期望改变的效果。
另外,如果你不满意(改变的)结果,你可以通过设置策略取消改变使其回到初始或者未配置状态。
进一步采取这种情形,当你用手工修改一台机器的多个微软窗口的注册表设置项这种情况时你将面对问题。
可能用户不能登录,(计算机)它们不能执行必须的动作,或者计算机不能正常的响应。
如果您记录了每台计算机上的每个变动,你可能取消那些改变——如果你够幸运同时你还正确的记录初始的设置以及改变。
相比之下,组策略允许你返回(“备份”)到改变执行之前的组策略状态。
如果一些东西运行出错,你能恢复组策略到它的初始状态。
当你恢复组策略状态,你可以确定在下次组策略刷新时所有的改变没有执行。
组策略怎样工作
讲到组策略刷新,你可能对这个术语意思的感到疑惑。
详细的细节见第二章,这里只介绍基本的组策略应用(开始过程)和简单的刷新(随后过程)。
在活动目录中,两个不同的的策略集合(组)被定义:
■计算机策略:
它们保存在组策略中的计算机配置下并应用于计算机。
■用户策略:
它们保存在组策略中的用户配置下并被用户使用。
程序初始化时相关的策略通过两种不同的事件被触发:
■当计算机开机时计算机策略进程被触发。
当计算机开始工作网络连接初始化,计算机策略设置被应用同时一个历史的注册表基本设置以%AllUsersProfile%\Ntuser.pol被使用。
■当用户登录计算机时用户策略进程被触发。
当一个用户登录到计算机上,用户策略设置被应用同时一个历史的注册表基本设置以%UserProfile%\Ntuser.pol被使用。
一旦被使用,组策略设置会自动的刷新保持当前的设置同时表现出执行后相应的改变。
在默认情况下,域控制器上的组策略每5分钟刷新一次。
对于工作站和其他类型的服务器,默认情况下组策略每90-120分钟刷新一次。
除此之外,在间隔时间内组策略每16个小时刷新一次不管是否有策略设置的改变。
注:
公开的,在工作站和成员服务器上组策略的默认刷新间隔时间是90分钟,但是增加30分钟的截止时间来避免域控制器中多个同时刷新(造成的)的请求泛滥。
这种作用使得默认刷新时机从90到120分钟(不等)。
Tip其他一些因素也能影响组策略刷新,包括慢关联检测如何被确定(每个组策略的慢关联检测策略在ComputerConfiguration\AdministrativeTemplates\System\GroupPolicy下)和ComputerConfiguration\AdministrativeTemplates\System\GroupPolicy下策略的策略进程设置。
你可以使用组策略控制台(GPMC)查看最近一次组策略刷新。
(参阅目录第三章“DeterminingPolicySettingsandLastRefresh”目录部分。
)
使用和实施组策略
组策略对于活动目录的成功实施是那么的重要以至于绝大多数管理员把它做为活动目录的组成对待。
这大部分是正确的——以这种思路理解也是可以的——但是使用组策略不是必须需要活动目录。
在工作组和域中使用组策略
你能够使用组策略管理运行微软Windows2000和WindowsXP专业版的工作站甚至运行Windows2000andWindowsServer™2003的服务器。
当然你不能使用组策略管理运行WindowsNT®的工作站或者服务器,Windows95,Windows98,WindowsMillenniumEdition(Me),或者WindowsXPHomeEdition,(但是)你可以在企业(域)和本地(工作组)的环境中使用组策略。
在企业环境中部署活动目录,彻底的设置策略环境是很便利的。
这些策略设置参考域中基本组策略,活动目录中基本组策略,或者最简单的组策略(的设置)。
在活动目录中,位置和组织单位是两个重要的相关元素(组织单元)。
位置代表着你的网络的物理结构。
它是一组TCP/IP子网段被实施用来控制在物理网络位置中目录响应流量和隔离登录认证流量。
OUs常常用于域中的一组对象。
在域中一个OU是一个逻辑上的管理它可以代表一个组织或者它们的目的功能。
组策略对象的工作
组策略被应用到不相关的地方,这涉及到组策略对象(GPOs)。
GPOs控制设置能够被计算机和用户以多种方式应用在特定的活动目录域,地点,或者OU中。
由于活动目录中的基本层次结构,高等级的GPOs设置也能被低级的GPOs继承。
例如域的设置能被在那个域中的EngineeringOU继承,这个域的设置将会被应用到EngineeringOU中的用户和计算机。
如果你不想策略设置被继承,你可以禁用这些设置来确保只有那个为低一级组策略设置的组策略对象被应用。
Tip由于域中组策略,你可能认为使用组策略将会影响深林或域的作用强度,但是这不是问题。
在深林和域中许多特定的功能模式不需要使用组策略。
森林作用强度可以是Windows2000,WindowsServer2003Interim,或者WindowsServer2003(操作系统)。
域作用水平强度可以是Windows2000Mixed,Windows2000Native,WindowsServer2003Interim,或者WindowsServer2003(操作系统)。
在本地环境,一个被称为本地组策略的组策略子集是便利的。
就像名字所指,本地组策略允许你管理策略设置并作用到每一个人登录到的本地机器。
这就意味着本地组策略应用到了工作组成员中任何登录到计算机的用户或者管理员和域成员中任何登录到本地计算机的用户或管理员。
由于本地组策略是组策略的一个子集,(因此)有些在域中可以设置的事情在本地却不能。
一般来说,你可以通过组策略管理策略区域中你不能管理的本地与活动目录有关的特征,例如安装软件。
犹如活动目录基本组策略,然而,本地策略通过组策略对象被管理。
这些组策略对象参与扮演本地组策略对象角色。
除去本地组策略和活动目录基础组策略的基本上的差异,两者的策略类型被管理的方式一样。
实际上,你使用相同的工具来管理它们。
关键的不同在你使用的GPO中。
在本地计算机上,你使用专有的LGPO。
如果你已经部署活动目录,那么,你可以使用除LGPOs之外的域,单元,和OUGPOs。
注意无论它们是客户端工作站,成员服务器,或者域控制器,所有的Windows2000,WindowsXPProfessional,和WindowsServer2003的计算机都有一个本地组策略项目。
LGPO总是被处理的。
但是,它具有最小的优先级,这意味着它可以通过设置站点,域和OU被设置取代。
虽然域控制器有本地组策略项目,(但是)对于域控制器的组策略被管理时最好通过一个被称为默认域控制器策略的默认GPO。
对于域有一个被叫做默认域策略的默认GPO。
就像你想象的那样,这些默认的GPOs有特殊的目的同时以很特别的方法被使用。
稍后你将会学到更多的关于这些默认的GPOs在本章标题为“WorkingwithLinkedGPOsandDefaultPolicy”的部分。
组策略入门
到目前为止我们讨论了组策略做什么,怎么做,怎么工作,但是我们没有讨论它帮你更好地管理你的网络的确切的方法。
了解组策略设置和选项
首先,组策略或许不是你想象的那样。
如果你从WindowsNT4.0的工作环境转移到WindowsServer2003的环境中,你应该知道前面合法的组策略和WindowsNT系统的策略是不同的。
WindowsNT系统的策略是十分受限制的,坦率的讲即使和组策略作用的领域相同。
如果你在Windows2000或者稍后的Windows操作系统上工作,你可能已经看到组策略能做什么,不能做什么,或者你听到一些人错误的把他们的困境归咎于组策略。
最直接的事实是你“告诉”它什么组策略就做什么。
你通过配置策略设置管理组策略。
你应用的一个策略设置是一个单独的设置,例如限制访问运行对话框。
大部分策略设置项有三种基本的状态:
■启用:
策略设置项被打开,它的设置处于活动(状态)。
通常的你启用一个策略设置应确保它被执行。
一旦启用,一些策略设置要求你配置额外的项为策略设置的应用作出调整。
■禁用:
策略设置项被关闭,它的设置不会被应用。
通常地,禁用一个策略设置应确保它不被执行。
■未配置:
策略设置没有被应用。
策略设置即不是活动也不是无效,同时没有变化因策略导致配置设置触发。
对于他们自己,这些状态相当的简单。
但是一些人认为组策略是复杂的因为这些基本状态(改变)会引起继承和阻塞(这里我们概要地涉及将在第三章做详细讨论)。
记住两条关于继承和阻塞的规则,你将会在通往组策略成功的路上事半功倍:
■如果继承策略设置被绝对的执行,你不能越控他们——继承策略设置被应用不管当前GPO的策略状态指派。
■如果在当前的GPO中继承策略设置被阻塞同时不是必须执行,继承策略设置能越控他们——继承策略设置不会应用,只有当前GPO中的策略设置被应用。
使用组策略管理
现在你已经确切的知道怎么应用单独的策略设置,让我们一起看看在管理域中应用组策略。
无论是你谈论的本地组策略或者域基本组策略,管理域和他们很类似,但是在域基本组策略中你可以干更多事情。
就像先前被提到过的,你不能使用本地组策略管理一些需要活动目录的特性;这些使用本地组策略能做与否的约束是本身的限制因素。
通过组策略,你可以管理这些关键的管理区域:
■计算机和用户脚本:
为用户配置登录/注销脚本和为计算机配置开机/关机脚本。
■文件夹重定向:
为用户转移关键性的数据文件夹到网络共享以便他们可以被更好的管理和规律性的备份(只适用基于域的组策略)。
■一般的计算机安全性:
为账户建立安全设置,事件日志,约束组,系统服务,注册表,和文件系统。
(对于本地组策略,你只能为账户策略提供管理一般性的计算机安全)
■本地安全策略:
设置策略审计,用户权限指派,和用户权限。
■IE维护:
配置浏览器的界面,安全性,重要的URLs,默认程序,代理,和其他更多。
■IP安全性:
为客户端,服务器,固定服务器设置IP安全策略
■公钥安全性:
设置自动注册公钥策略,加密文件系统(EFS),企业信托,等等。
■软件设置:
自动地安装新软件和软件升级(只适用基于域的组策略)。
■远程服务设置:
在客户端安装中设置的选项可用。
■无线网络(IEEE802.11):
为接入点,客户机,设置无线网络工作策略和网络优先级(只适用基于域的组策略)。
■软件限制:
限制软件的部署和使用本地组策略不支持基于用户的软件限制策略,只支持基于计算机的软件限制策略。
虽然一个特别的策略集合被称作管理模板,但是你也可以管理关于各个方面的用户图像界面接口(GUI),从菜单到桌面,任务栏,还有更多。
管理模块策略设置作用实际的注册表设置,因此无论你是工作在本地组策略或者基于域的组策略适用的策略几乎是同一的。
你可以使用管理模块来管理:
■控制面板控制控制面板的进入和选择。
你可以配置设置添加或删除程序,打印机,和地域与语言选择。
■桌面配置Windows桌面,活动桌面的外观与交互,和从桌面活动目录搜索的选择。
■网络配置网络工作和网络客户端选项,包括文件卸载,DNS客户端,和网络连接。
■打印机Configuringprinterpublishing,browsing,spooling,anddirectory
options.
■共享文件夹允许公用的文件夹共享和分配文件系统(DFS)目录。
■开始程序和任务栏配置开始程序和任务栏,首要的移出或隐藏项目和选项。
■系统配置策略相关的正常的系统设置,磁盘引述,用户简介,登录,电源管理,系统恢复,错误报告,和其他更多。
■Windows组件配置是否或者怎么使用Windows组件,例如事件监视器,任务计划栏,和Windows更新。
了解组策略所需的基础设施
本地组策略是可用的对于运行Windows2000,WindowsXPProfessional,orWindowsServer2003的计算机来说。
基于域的组策略只可用在运行活动目录的网络中。
由于活动目录工作依靠TCP/IP协议和域名解析(DNS),因此你必须部署TCP/IP网络环境,DNS,和活动目录使用的基于域的组策略。
DNS和活动目录
DNS提供能使一台计算机找到另一台计算机的名字解析。
这是一个有IETF给出的服务标准命名在RFC1034和RFC1035被详细的说明。
在工作站和服务器上,DNS在TCP/IP协议簇被自动的安装,它提供几种类型,正向请求允许计算机把主机名转换成IP地址,反向请求允许计算机把一个IP地址转换成主机名。
活动目录为域和其他特征提供必需的目录服务使他们能够通过组策略被提前控制。
对活动目录来说基本的通讯协议是(LDAP)。
LDAP是一个提供目录访问且运行在TCP/IP协议上的工业标准协议。
客户端可以使用LDAP来请求和管理目录信息,符合他们准许的访问等级。
其他通讯协议也一样支持,包括REPL接口,被用来复制;消息应用程序接口(MAPI),被用在老版本的消息客户端;账户安全性管理(SAM)接口,允许WindowsNT4.0的客户端有限制的访问活动目录。
总的来说,这些接口允许:
■与LADP通信,活动目录服务交互(ADSI),以认证为目的的新的客户端展望,访问控制,目录请求,和目录管理。
■复制其他目录服务器以达到为域控制器分发目录变化目的
■与旧(MAPI)的Outlook客户端通信,主要用于查询,
■为实现认证和访问控制与WindowsNT4.0的客户端通信
通过在活动目录中使用DNS,你可以建立目录结构并给出很详尽的列举环境。
目录对象被域逻辑上分组。
这使得域内活动目录中的一个基本结构阻塞。
两个额外的阻塞是单元和OUs,这些我们先前介绍过。
活动目录有非常明确的规则当它在域,站点,和OUs中。
网络上的每一个工作站和服务器必须是域的一个成员同时位于一个单元中。
一个工作站或者服务器只能属于一个域和一个单元。
组织单元,另一方面来说,被域明确定义,可以认为是域中子集的包含者。
例如,域中你可能有工程部,销售,销售员,和支持组织单元。
和域一样,组织单元能被领导层组织。
例如,你的销售组织单元可以有打印机销售和计算机销售组织单元。
注释:
在WindowsNT中,你经常创建额外的域来产生清楚地隔离在用户,计算机,资源或者管理者代表权限之间,同时限制管理访问。
你可以使用活动目录组织单元达成相似的目的——不需要建立额外的(和更复杂的)域结构。
另一个在NT中创建额外的域是为了减少网段之间的流量,这也是活动目录站点的描述。
你可以使用单元来增加网段间更好的通信控制。
应用ActiveDirectory结构的继承
当你使本地计算机包含我们已经讨论过的基本结构,一个典型的活动目录网络有四个明确的等级:
■本地计算机
■站点
■域
■组织单元
当组策略被设置在本地计算机等级,每一个登录到本地机器上的人受策略设置的影响(本地组策略)。
基于域的组策略被设置在真正的目录结构上,基于域的策略设置被应用在这些基本命令中:
站点,域,组织单元。
这个结构被认为有四个等级。
最高等级是本地组策略,第二个等级是单元,第三级是域,第四级是组织单元。
组织单位可以相互嵌套,所以你可以根据需要创建额外的等级结构。
默认地,当策略被设置在一个等级,设置应用到那一级的所有对象和这一级以下的所有对象,通过继承。
策略设置继承工作如下(除非继承被阻塞):
■如果策略设置被应用在单元等级,你影响域和组织单元确定的单元部分中所有的用户和计算机。
例如,如果主要的单元包含和域,所有被应用到单元的设置将会影响两个域中的对象。
■如果一个策略设置被应用在域等级,它影响组织单元确定的为域部分中的所有用户和计算机。
例如,如果包含Engineering和IT组织单元,所有被应用到域中的设置将会影响Engineering和IT组织单元中的对象。
■如果一个策略设置被应用在组织单元等级,它影响组织单元和低于他的组织单元(子组织单元)确定的所有用户和计算机。
例如,如果Engineering组织单元包含WebTeam和DevTeam子组织单元,所有应用到Engineering组织单元的设置将会影响ebTeam和DevTeam组织单元。
审查GPO的关联和默认GPOs
在你转入更多提高组策略话题前,你必须理解两个基本概念:
GPO的关联和默认GPOs。
GPO链接的方式影响政策的实施。
默认GPO是有特殊用途的政策对象,活动目录依靠它建立域和域控制器基准安全设置。
了解GPO关联
就像你知道的那样,两种组策略类型是本地组策略和基于活动目录的组策略。
本地组策略只应用在本地机器上,一台本地机器只有一个本地GPO(LGPO)。
基于活动目录的组策略,另一方面来说,可以部署在站点,域,和组织单元等级,同时每一个站点,域,和组织单元都有一个或者多个GPOs和它相关联。
在一个GPO和一个单元,域,或者组织单元之间的结合可看作一个纽带。
例如,如果一个GPO与一个域结合,那么这个GPO就可以说被连接于那个域。
你在活动目录中创建的所有的GPOs被储存在一个叫组策略对象的容器中。
这个容器被复制到域中的所有域控制器,所以默认地所有的GPOs也被复制到域中的所有域控制器上。
Thelink(association)betweenadomain,site,orOUiswhatmakesaGPOactiveandapplicabletothatdomain,site,orOU.
链接能够被两种方式应用:
■在活动目录中尼可以把组策略对象链接到多个等级。
例如,一个组策略对象可以被链接到一个站点,一个域,和多个组织单元。
在这种情况下,组策略对象被应用到活动目录中的每一个等级。
■你可以链接一个组策略对象到一个特定的站点,域,或者组织单元。
例如,如果一个组策略对象被链接到一个域,这个组策略对象应用到域中的所有用户和计算机上。
注意当你用GPOs工作时,绝对不要忘记关于继承和它的影响。
在上面的两个例子中,被关联的组策略对象会被低等级的对象继承由于继承性。
例如,被关联到域的组策略对象设置将会被域中的所有组织单元继承。
在活动目录中关联一个组策略对象到多个等级,稍后,它创建直接的关联在一个组策略对象和多个站点,域,或者组织单元或者许多联合的站点,域,和组织单元。
注意更多的关于组策略对象关联和继承的信息,参阅第三章。
你也可以从组策略对象的站点,域,或者组织单元中删除关联。
你已经删除的关联这些会除去组策略对象与活动目录级别中的直接联系。
例如,如果一个组策略对象被关联到一个叫FirstSite的站点和的域,你可以从域中删除这种关联。
域中非关联的组策略对象删除组策略对象和域之间的链接。
之后组策略对象只被关联到站点。
如果你稍后移除站点和组策略对象的关联,组策略对象,组策略对象被完全地非关联。
在活动目录中一个组策略对象不再关联所有的级别但它仍然存在于组策略对象容器中,不过它完全地不在运行。
使用关联的GPO和默认策略
一些工具是方便的在使用组策略工作时。
这些工具的界面非常相似。
但你想在本地组策略使用安全性设置工作时,(例如,计算机配置\安全性设置配置),你可以使用本地安全性策略工具(单击“开始”进入,“程序”或“所有程序”,管理工具下“本地安全性策略”项)。
当你想完全地进入本地组策略或者想使用基于活动目录的组策略工作,你可以使用组策略对象编辑器,它被包含在WindowsServer2003标准安装中,或组策略控制台(GPMC)下,可以方便的从微软下载中心(
当你创建了一个域,两个组策略对象会被默认的创建:
■默认域控制器策略GPO一个默认的组策略对象被创建和关联到域控制器组织单元,它被应用到域中的所有域控制器上(直到他们不被移出组织单元)。
这个组
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 英语 译文