《毕业论文外文翻译-组策略的概述.doc》由会员分享,可在线阅读,更多相关《毕业论文外文翻译-组策略的概述.doc(25页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、毕业设计(论文)译文专用纸 第24页2011年 3 月作者:Darren Mar-Elia, Derek Melber, William R. StanekThe出版社:Microsoft Press出版时间:2005-05-25章节:第一张,3至12页组策略的概述在本章,我们将介绍组策略。 你将学到组策略是做什么的 ,它是怎样被用于域和工作组的设置中,以及实施组策略需要什么基础设施。如果你要搭建一个活动目录服务的网络环境,你就需要组策略。 就是这么回事。毫无疑问,没有一点问题。你面对的真正的问题是给你组织的架构和需求如何最大限度的运用组策略提供的。 为什么?因为组策略意味着你作为管理员的生活
2、变的更容易。微软定义组策略这个术语是为了描述能够允许你一起设置组策略同时把它们运用到离散集合(不相干记录)的技术。实际上,组策略是一组为了简化管理共同的、重复的以及独特的任务而又难以手工实施但是可以被自动化执行的策略设置(例如部署新的软件或者强制执行能够安装在电脑上的程序)。相关信息关于域名服务器体系结构的信息,参考Microsoft Windows Server 2003 Inside Out(微软服务器2003视窗)的第26章(微软出版,2004)。关于活动目录系结构的信息,参考Microsoft Windows Server 2003 Inside Out的第32章。 关于组策略实施的信
3、息,参考本书的第四章。了解组策略组策略提供了一种方便高效的方法来管理计算机和用户设置。组策略做什么通过组策略,你能用完成(manage)设置一个用户或者一台计算机的方法完成设置成千的用户或者计算机无需离开你的办公桌(座位)。对于这些,你可以使用一个或多个管理工具改变设置成期望值,同时通过网络把这些改变应用到一段期望的用户和计算机或者任意一个用户和计算机。一种理解思路是组策略好比一组规则能够帮助你管理用户和计算机。尽管缺乏一致的理解,用这种思路理解组策略可能比以前的更直观。仍然不可思议? 想想在组策略(出现)之前,许多组策略的管理改变只能通过修改Windows注册表,每一个改变不得不单独的在每一
4、台目标主机上进行。随时间变化,实施的棘手,可能会导致灾难性后果?当然了。进入组策略,凭借它你可以简单的使用或者取消一个策略调整注册表键值或者其它设置,这些改变在组策略下次刷新时能够被自动的应用到你指定的每台计算机上。由于改变能够被效仿(通过组策略控制台)在修改被应用之前,(因此)你可以确定每一个期望改变的效果。另外,如果你不满意(改变的)结果,你可以通过设置策略取消改变使其回到初始或者未配置状态。进一步采取这种情形,当你用手工修改一台机器的多个微软窗口的注册表设置项这种情况时你将面对问题。可能用户不能登录,(计算机)它们不能执行必须的动作,或者计算机不能正常的响应。如果您记录了每台计算机上的每
5、个变动,你可能取消那些改变如果你够幸运同时你还正确的记录初始的设置以及改变。相比之下,组策略允许你返回(“备份”)到改变执行之前的组策略状态。如果一些东西运行出错,你可以恢复组策略到它的初始状态。当你恢复组策略状态,你可以确定在下次组策略刷新时所有的改变没有执行。组策略怎么工作讲到组策略刷新,你可能对这个术语意思的感到疑惑。详细的细节见第二章,这里只介绍基本的组策略应用(开始过程)和简单的刷新(随后过程)。在活动目录中,两个不同的的策略集合(组)被定义: 计算机策略:它们保存在组策略中的计算机配置下并应用于计算机。 用户策略:它们保存在组策略中的用户配置下并被用户使用。程序初始化时相关的策略通
6、过两种不同的事件被触发:当计算机开机时计算机策略进程被触发。当计算机开始工作网络连接初始化,计算机策略设置被应用同时一个历史的注册表基本设置以%AllUsersProfile%Ntuser.pol被使用。 当用户登录计算机时用户策略进程被触发。当一个用户登录到计算机上,用户策略设置被应用同时一个历史的注册表基本设置 %UserProfile%Ntuser.pol 被使用。一旦被使用,组策略设置会自动的刷新保持当前的设置同时表现出执行后相应的改变。在默认情况下,域控制器上的组策略每5分钟刷新一次。对于工作站和其他类型的服务器,默认情况下组策略每90-120分钟刷新一次。除此之外,在间隔时间内组策
7、略每16个小时刷新一次不管是否有策略设置的改变。注意:公开的,在工作站和成员服务器上组策略的默认刷新间隔时间是90分钟,但是增加30分钟的截止时间来避免域控制器中多个同时刷新(造成的)的请求泛滥。这种作用使得默认刷新时机从90到120分钟(不等)。要点:其他一些因素也能影响组策略刷新, 包括慢关联检测如何被确定 (每个组策略的慢关联检测策略在 Computer ConfigurationAdministrative TemplatesSystemGroup Policy下)和ComputerConfigurationAdministrative TemplatesSystemGroup Pol
8、icy 下策略的策略进程设置。你可以使用组策略控制台(GPMC)查看最近一次组策略刷新。(参阅目录第三章“Determining Policy Settings and Last Refresh”目录部分。)使用和实施组策略组策略对于活动目录的成功实施是那么的重要以至于绝大多数管理员把它做为活动目录的组成对待。这大部分是正确的以这种思路理解也是可以的但是使用组策略不是必须需要活动目录。在工作组和域中使用组策略你能够使用组策略管理运行微软Windows 2000和Windows XP 专业版的工作站甚至运行Windows 2000 and Windows Server 2003的服务器。当然你不
9、能使用组策略管理运行Windows NT的工作站或者服务器,Windows 95, Windows 98, Windows Millennium Edition (Me),或者Windows XP Home Edition ,(但是)你可以在企业(域)和本地(工作组)的环境中使用组策略。 在企业环境中部署活动目录,彻底的设置策略环境是很便利的。这些策略设置参考域中基本组策略,活动目录中基本组策略,或者最简单的组策略(的设置)。在活动目录中,位置和组织单位是两个重要的相关元素 (组织单元)。位置代表着你的网络的物理结构。它是一组TCP/IP 子网段被实施用来控制在物理网络位置中目录响应流量和隔离
10、登录认证流量。OUs常常用于域中的一组对象。在域中一个OU是一个逻辑上的管理它可以代表一个组织或者它们的目的功能。组策略对象的工作组策略被应用到不相关的地方,这涉及到组策略对象(GPOs)。GPOs控制设置能够被计算机和用户以多种方式应用在特定的活动目录域,地点,或者OU中。由于活动目录中的基本层次结构,高等级的GPOs设置也能被低级的GPOs继承。例如域的设置能被在那个域中的Engineering OU继承,这个域的设置将会被应用到Engineering OU 中的用户和计算机。如果你不想策略设置被继承,你可以禁用这些设置来确保只有那个为低一级组策略设置的组策略对象被应用。要点:由于域中组策
11、略,你可能认为使用组策略将会影响深林或域的作用强度,但是这不是问题。在深林和域中许多特定的功能模式不需要使用组策略。森林作用强度可以是Windows 2000, Windows Server 2003 Interim,或者 Windows Server 2003(操作系统)。域作用水平强度可以是Windows 2000 Mixed,Windows 2000 Native,Windows Server 2003 Interim,或者 Windows Server 2003(操作系统)。 在本地环境,一个被称为本地组策略的组策略子集是便利的。就像名字所指,本地组策略允许你管理策略设置并作用到每一个
12、人登录到的本地机器。这就意味着本地组策略应用到了工作组成员中任何登录到计算机的用户或者管理员和域成员中任何登录到本地计算机的用户或管理员。由于本地组策略是组策略的一个子集,(因此)有些在域中可以设置的事情在本地却不能。一般来说,你可以通过组策略管理策略区域中你不能管理的本地与活动目录有关的特征,例如安装软件。犹如活动目录基本组策略,然而,本地策略通过组策略对象被管理。这些组策略对象参与扮演本地组策略对象角色。除去本地组策略和活动目录基础组策略的基本上的差异,两者的策略类型被管理的方式一样。实际上,你使用相同的工具来管理它们。关键的不同在你使用的GPO中。在本地计算机上,你使用专有的LGPO 。
13、如果你已经部署活动目录,那么,你可以使用除LGPOs之外的域,单元,和OU GPOs 。注意:无论它们是客户端工作站,成员服务器,或者域控制器,所有的Windows 2000, Windows XP Professional,和 Windows Server 2003 的计算机都有一个本地组策略项目。LGPO总是被处理的。但是,它具有最小的优先级,这意味着它可以通过设置站点,域和OU被设置取代。虽然域控制器有本地组策略项目,(但是)对于域控制器的组策略被管理时最好通过一个被称为默认域控制器策略的默认GPO。对于域有一个被叫做默认域策略的默认GPO。就像你想象的那样,这些默认的GPOs有特殊的目
14、的同时以很特别的方法被使用。稍后你将会学到更多的关于这些默认的GPOs在本章标题为 “Working with Linked GPOs and Default Policy”的部分。组策略入门到目前为止我们讨论了组策略做什么,怎么做,怎么工作,但是我们没有讨论它帮你更好地管理你的网络的确切的方法。了解组策略设置和选项首先,组策略或许不是你想象的那样。如果你从Windows NT 4.0 的工作环境转移到Windows Server 2003的环境中,你应该知道前面合法的组策略和Windows NT 系统的策略是不同的。Windows NT系统的策略是十分受限制的,坦率的讲即使和组策略作用的领域
15、相同。如果你在Windows 2000或者稍后的Windows操作系统上工作,你可能已经看到组策略能做什么,不能做什么,或者你听到一些人错误的把他们的困境归咎于组策略。最直接的事实是你“告诉”它什么组策略就做什么。你通过配置策略设置管理组策略。你应用的一个策略设置是一个单独的设置,例如限制访问运行对话框。大部分策略设置项有三种基本的状态: 启用:策略设置项被打开,它的设置处于活动(状态)。通常的你启用一个策略设置应确保它被执行。一旦启用,一些策略设置要求你配置额外的项为策略设置的应用做出调整。 禁用:策略设置项被关闭,它的设置不会被应用。通常地,禁用一个策略设置应确保它不被执行。 未配置:策略
16、设置没有被应用。策略设置即不是活动也不是无效,同时没有变化因策略导致配置设置触发。对于他们自己,这些状态相当的简单。但是一些人认为组策略是复杂的因为这些基本状态(改变)会引起继承和阻塞(这里我们概要地涉及将在第三章做详细讨论)。记住两条关于继承和阻塞的规则,你将会在通往组策略成功的路上事半功倍: 如果继承策略设置被绝对的执行,你不能越控他们继承策略设置被应用不管当前GPO的策略状态指派。 如果在当前的GPO中继承策略设置被阻塞同时不是必须执行,继承策略设置能越控他们继承策略设置不会应用,只有当前GPO中的策略设置被应用。使用组策略管理现在你已经确切的知道怎么应用单独的策略设置,让我们一起看看在
17、管理域中应用组策略。无论是你谈论的本地组策略或者域基本组策略,管理域和他们很类似,但是在域基本组策略中你可以干更多事情。就像先前被提到过的,你不能使用本地组策略管理一些需要活动目录的特性;这些使用本地组策略能做与否的约束是本身的限制因素。通过组策略,你可以管理这些关键的管理区域:计算机和用户脚本:为用户配置登录/注销脚本和为计算机配置开机/关机脚本。文件夹重定向:为用户转移关键性的数据文件夹到网络共享以便他们可以被更好的管理和规律性的备份(只适用基于域的组策略)。 一般的计算机安全性:为账户建立安全设置,事件日志,约束组,系统服务,注册表,和文件系统。(对于本地组策略,你只能为账户策略提供管理
18、一般性的计算机安全) 本地安全策略:设置策略审计,用户权限指派,和用户权限。IE维护:配置浏览器的界面,安全性,重要的URLs,默认程序,代理,和其他更多。IP安全性:为客户端,服务器,固定服务器设置IP安全策略 公钥安全性:设置自动注册公钥策略,加密文件系统(EFS),企业信托,等等。 软件设置:自动地安装新软件和软件升级(只适用基于域的组策略)。 远程服务设置:在客户端安装中设置的选项可用。 无线网络(IEEE 802.11):为接入点,客户机,设置无线网络工作策略和网络优先级(只适用基于域的组策略)。 软件限制:限制软件的部署和使用本地组策略不支持基于用户的软件限制策略,只支持基于计算机
19、的软件限制策略。虽然一个特别的策略集合被称作管理模板,但是你也可以管理关于各个方面的用户图像界面接口(GUI),从菜单到桌面,任务栏,还有更多。管理模块策略设置作用实际的注册表设置,因此无论你是工作在本地组策略或者基于域的组策略适用的策略几乎是同一的。你可以使用管理模块来管理: 控制面板 控制控制面板的进入和选择。你可以配置设置添加或删除程序,打印机,和地域与语言选择。 桌面 配置Windows桌面,活动桌面的外观与交互,和从桌面活动目录搜索的选择。 网络 配置网络工作和网络客户端选项,包括文件卸载,DNS 客户端,和网络连接。 打印机 配置共享打印机,浏览打印机,打印池和直接选项 共享文件夹
20、 允许公用的文件夹共享和分配文件系统(DFS)目录。 开始程序和任务栏 配置开始程序和任务栏,首要的移出或隐藏项目和选项。 系统 配置策略相关的正常的系统设置,磁盘引述,用户简介,登录,电源管理,系统恢复,错误报告,和其他更多。 Windows 组件 配置是否或者怎么使用Windows组件,例如事件监视器,任务计划栏,和Windows更新。了解组策略所需的基础设施本地组策略是可用的对于运行Windows 2000, Windows XP Professional, or Windows Server 2003的计算机来说。基于域的组策略只可用在运行活动目录的网络中。由于活动目录工作依靠TCP/
21、IP协议和域名解析(DNS),因此你必须部署TCP/IP网络环境,DNS,和活动目录使用的基于域的组策略。DNS和活动目录DNS提供能使一台计算机找到另一台计算机的名字解析。这是一个有IETF给出的服务标准命名在RFC 1034 和 RFC 1035被详细的说明。在工作站和服务器上,DNS在TCP/IP协议簇被自动的安装,它提供几种类型,正向请求允许计算机把主机名转换成IP地址,反向请求允许计算机把一个IP地址转换成主机名。活动目录为域和其他特征提供必需的目录服务使他们能够通过组策略被提前控制。对活动目录来说基本的通讯协议是(LDAP)。LDAP是一个提供目录访问且运行在TCP/IP协议上的工
22、业标准协议。客户端可以使用LDAP来请求和管理目录信息,符合他们准许的访问等级。其他通讯协议也一样支持,包括REPL接口,被用来复制;消息应用程序接口(MAPI),被用在老版本的消息客户端;账户安全性管理(SAM)接口,允许Windows NT 4.0 的客户端有限制的访问活动目录。总的来说,这些接口允许:与LADP通信,活动目录服务交互(ADSI),以认证为目的的新的客户端展望,访问控制,目录请求,和目录管理。 复制其他目录服务器以达到为域控制器分发目录变化目的与旧(MAPI)的Outlook客户端通信,主要用于查询, 为实现认证和访问控制与Windows NT 4.0的客户端通信通过在活动
23、目录中使用DNS,你可以建立目录结构并给出很详尽的列举环境。目录对象被域逻辑上分组。这使得域内活动目录中的一个基本结构阻塞。两个额外的阻塞是单元和OUs,这些我们先前介绍过。活动目录有非常明确的规则当它在域,站点,和OUs中。网络上的每一个工作站和服务器必须是域的一个成员同时位于一个单元中。一个工作站或者服务器只能属于一个域和一个单元。组织单元,另一方面来说,被域明确定义,可以认为是域中子集的包含者。例如,域中你可能有工程部,销售,销售员,和支持组织单元。和域一样,组织单元能被领导层组织。例如,你的销售组织单元可以有打印机销售和计算机销售组织单元。要点:在Windows NT 中,你经常创建额
24、外的域来产生清楚地隔离在用户,计算机,资源或者管理者代表权限之间,同时限制管理访问。你可以使用活动目录组织单元达成相似的目的不需要建立额外的(和更复杂的)域结构。另一个在NT中创建额外的域是为了减少网段之间的流量,这也是活动目录站点的描述。你可以使用单元来增加网段间更好的通信控制。应用Active Directory结构的继承当你使本地计算机包含我们已经讨论过的基本结构,一个典型的活动目录网络有四个明确的等级: 本地计算机 站点 域 组织单元当组策略被设置在本地计算机等级,每一个登录到本地机器上的人受策略设置的影响(本地组策略)。基于域的组策略被设置在真正的目录结构上,基于域的策略设置被应用在
25、这些基本命令中:站点,域,组织单元。这个结构被认为有四个等级。最高等级是本地组策略,第二个等级是单元,第三级是域,第四级是组织单元。组织单位可以相互嵌套,所以你可以根据需要创建额外的等级结构。默认地,当策略被设置在一个等级,设置应用到那一级的所有对象和这一级以下的所有对象,通过继承。策略设置继承工作如下(除非继承被阻塞): 如果策略设置被应用在单元等级,你影响域和组织单元确定的单元部分中所有的用户和计算机。例如,如果主要的单元包含和域,所有被应用到单元的设置将会影响两个域中的对象。 如果一个策略设置被应用在域等级,它影响组织单元确定的为域部分中的所有用户和计算机。例如,如果 包含Enginee
26、ring和IT组织单元,所有被应用到域中的设置将会影响Engineering和IT组织单元中的对象。 如果一个策略设置被应用在组织单元等级,它影响组织单元和低于他的组织单元(子组织单元)确定的所有用户和计算机。例如,如果Engineering 组织单元包含WebTeam和 DevTeam子组织单元,所有应用到Engineering 组织单元的设置将会影响ebTeam和 DevTeam组织单元。 Authors:Darren Mar-Elia, Derek Melber, William R. StanekThePublisher: Microsoft PressPublished: 2005-
27、05-25Chapter:Chapter 1,Page 3 To 12Overview of Group PolicyIn this chapter, we will introduce Group Policy. Youll learn what Group Policy does,how it can be used in both domain and workgroup settings, and what infrastructureis required to implement it. If youre running an Active Directory directory
28、servicenetwork environment, you need Group Policy. Period. Theres no doubt, no questionat all. Your only real question should be how to make the most of what Group Policyhas to offer, given your organizations structure and needs. Why? Because GroupPolicy is meant to make your life as an administrato
29、r easier. Microsoft coined the termGroup Policy to describe the technology that allows you to group policy settingstogether and apply them in discrete sets. Group Policy is, in fact, a collection of policysettings that simplify administration of common and repetitive tasks as well as uniquetasks tha
30、t are difficult to implement manually but can be automated (such as deploying new software or enforcing which programs can be installed on computers).Related Information For information about DNS architecture, see Chapter 26 in Microsoft WindowsServer 2003 Inside Out (Microsoft Press, 2004). For inf
31、ormation about Active Directory architecture, see Chapter 32 in MicrosoftWindows Server 2003 Inside Out. For information on deploying Group Policy, see Chapter 4 in this book.Understanding Group PolicyGroup Policy provides a convenient and effective way to manage computer and usersettings.What It Do
32、esWith Group Policy, you can manage settings for thousands of users or computers inthe same way that you manage settings for one user or computerand without everleaving your desk. To do this, you use one of several management tools to change asetting to a desired value, and this change is applied th
33、roughout the network to adesired subset of users or computers or to any individual user or computer.One way to think of Group Policy is as a set of rules that you can apply to help youmanage users and computers. Despite common misperceptions, Group Policy doesthis in a way that is more intuitive tha
34、n was previously possible. Still a nonbeliever?Consider for a moment that before Group Policy, many of the administrative changesthat Group Policy enables were possible only by hacking the Windows registry, andeach change had to be made individually on each target computer. Time consuming,tricky to
35、implement, prone to disastrous results? You betcha.Enter Group Policy, whereby you can simply enable or disable a policy to tweak aregistry value or other setting, and the change will apply automatically to every computer you designate the next time Group Policy is refreshed. Because changes can be
36、modeled (through the Group Policy Management Console) before the modifications are applied, you can be certain of the effect of each desired change. Plus, if you dont like the results, you can undo a change by setting the policy back to its original or Not Configured state.To take this scenario a st
37、ep further, consider the case in which youve manuallytweaked multiple Microsoft Windows registry settings on a number of machinesand you start to have problems. Maybe users cant log on, they cant perform necessary actions, or computers arent responding normally. If you documented everychange on ever
38、y computer, you might be able to undo the changesif you are luckyand if you properly documented the original settings as well as the changes. In contrast,Group Policy allows you to back up (“save”) the state of Group Policy beforemaking changes. If something goes wrong, you can restore Group Policy
39、to its original state. When you restore the state of Group Policy, you can be certain that all changes are undone with the next Group Policy refresh.How It WorksSpeaking of Group Policy refresh, you are probably wondering what this termmeans. While the nitty-gritty details are covered in Chapter 2,
40、the basics of grouppolicy application (initial processing) and refresh (subsequent processing) arestraightforward. In Active Directory, two distinct sets of policies are defined: Computer policies These apply to computers and are stored under ComputerConfiguration in Group Policy. User policies Thes
41、e apply to users and are stored under User Configuration inGroup Policy.Initial processing of the related policies is triggered by two unique events: Processing of computer policies is triggered when a computer is started. Whena computer is started and the network connection is initialized, computer
42、 policysettings are applied and a history of the registry-based settings that were appliedis written to %AllUsersProfile%Ntuser.pol. Processing of user policies is triggered when a user logs on to a computer. Whena user logs on to a computer, user policy settings are applied and a history of theregi
43、stry-based settings that were applied is written to %UserProfile%Ntuser.pol.Once applied, Group Policy settings are automatically refreshed to keep settings current and to reflect any changes that might have been made. By default, Group Policy on domain controllers is refreshed every 5 minutes. For
44、workstations and other types of servers, Group Policy is refreshed every 90 to 120 minutes by default. In addition,Group Policy is refreshed every 16 hours regardless of whether or not any policy settings have changed in the intervening time.Note Officially, the default Group Policy refresh interval
45、 on workstations and member servers is every 90 minutes, but a delay of up to 30 minutes is added to avoid flooding domain controllers with multiple simultaneous refresh requests. This effectively makes the default refresh window from 90 to 120 minutes.Tip Other factors can affect Group Policy refre
46、sh, including how slow link detectionis defined (per the Group Policy Slow Link Detection Policy under Computer ConfigurationAdministrative TemplatesSystemGroup Policy) and policy processing settings for policies under Computer ConfigurationAdministrative TemplatesSystemGroup Policy. You can check t
47、he last refresh of Group Policy using the Group Policy Management Console (GPMC). (See the section titled “Determining Policy Settings and Last Refresh” in Chapter 3.)Using and Implementing Group PolicyGroup Policy is so important to a successful Active Directory implementation thatmost administrators think of it as a component of Active Directory. This is mostlytrueand it is okay to think of it this waybut you dont necessarily need ActiveDirectory to use Group Policy.Using Group Policy in Workgroups and DomainsYou can use Group Policy to manage workstations running Microsoft Windows
限制150内