组策略是在Windows 2000/XP域中用于控制用户和计算机桌面环境的基于活动目录的机制,针对安全、软件安装记忆脚本的设置都可以通过组策略进行。
从弹出菜单选择导入策略
导入策略自窗口中将会显示%SystemRoot%\security\templates文件夹中的所有模板,从这个文件夹中选择一个模板或者通过浏览功能查找其它合适的模板。
点击打开
被选中的模板中的设置已经被导入到了安全选项节点,现在你可以通过安全设置树查看和修改这些设置。
警告:为了让一个新的GPO能够被正确应用,你必须首先注册这一改变,简单地把模板导入到新的GPO并不能起到这个作用,哪怕关闭组策略组件中的GPO然后稍等片刻重新打开它的时候系统会报告说导入的安全设置已经被保存。组策略被刷新后GPO将会被清空而不是被应用。要注册一个改变,在载入安全模板后编辑GPO中的任意一个设置,哪怕你随便更改一个设置后重新又把设置该回来。
在Windows 2000 域控制器上管理Windows XP GPO
在早期的规定中,一旦Windows XP GPO在运行Windows XP的计算机上被编辑过后,后期的GPO管理(例如链接GPO到域或者OU)就可以在Windows 2000域控制器上进行了。
当使用Windows 2000域控制器查看Windows XP GPO时,如果Windows XP独有的用户或用户组(例如LOCAL SERVICE、NETWORK SERVICE)显示在一个文件或者注册表的权限设置中时,当定位到计算机配置\Windows设置\安全设置节点就可能引起“Windows无法打开模板文件”的错误信息。不过就算这些安全设置无法在Windows 2000下查看,GPO仍然可以被正确应用。
本地策略对象
每台计算机无论是不是域成员都有本地组策略,本地组策略是第一个被应用的策略。虽然任何后期的组策略都可能覆盖本地策略的设置,不过只要是在本地组策略中设定并没有在其他策略中设定的策略都将被保留。因此本地策略和活动目录组策略的配置一致是很重要的。
本地组策略对象(Local GPO)被保存在 %SystemRoot%\System32\Group Policy,可以通过组策略组件中的选择远程计算机或者在管理工具菜单下选择本地安全策略来访问和查看。
LGPO并不是包括了活动目录组策略的全部设置,举例来说,在安全设置节点下,只有账户策略和本地策略可用,因此如果一个安全模板被导入本地策略,实际上就只有在本地策略中可用的部分被真正导入了。其他的设置,例如注册表和文件权限可以通过安全配置和分析组件应用到本地。
强制组策略更新
组策略会通过活动目录周期性的被更新,默认的设置会每90分钟更新一次工作站的组策略设置。
要强制组策略立刻在本机更新可以使用命令行工具gpupdate.exe。输入gpupdate /?将会看到该命令所有可用的参数。例如,要强制立刻刷新计算机配置这部分的组策略设置,可以使用:
Gpupdate /target:computer /force
查看策略结果集
根据对象所在的容器不同,多个GPO可以同时应用到域对象。举例来说,一个域级别的GPO设置可以被应用到域中的所有计算机上,针对不同OU的GPO也可以分别被应用到那个OU的相应对象。人工判断哪个GPO被应用以及它们以什么样的顺序被应用是一个繁琐的工作,尤其是在一个复杂的域环境中,这使得组策略问题的错误排查显得异常困难。好在Windows XP提供了两个工具RsoP(Resultant Set of Policy,策略结果集)和gpresult.exe,可以用来查看一个对象上GPO的应用情况。
RsoP组件
RSoP.msc是一个用来显示本地计算机上策略应用情况的MMC组件,要打开这个组件,可以直接在命令行窗口输入RSoP.msc或者添加策略结果集到MMC中。
对每个组策略设置,RsoP都会显示计算机设置(当前计算机的设置情况)以及GPO来源(哪个GPO最终产生了当前的设置)。RsoP的更详细信息。
Gpresult.exe
Gpresult.exe是一个命令行工具,可以用来查看计算机上最后一次被应用的组策略的详细状态:应用了哪些GPO以及应用的先后顺序,以及因为什么原因哪些GPO没有被应用。同时Gpresult还可以搜集网络中其它计算机的相关信息。
要查看gpresult所有可用的参数,可以在命令行下输入
gpresult /?
已知问题
本段会就加入Windows 2000域的Windows XP计算机可能会遇到的问题作出说明。
RestrictAnonymous 设置以及“用户必须在下次登录时修改密码”
默认情况下Windows XP不会给匿名用户(空连接)指派与Everyone组相同的权限,然而在Windows NT和Windows 2000中匿名用户则是具有这种权限的。如果Windows 2000域中用户被设置了用户下次登录时必须修改密码选项同时Windows 2000 域控制器上RestrictAnonymous注册表键被设置为匿名用户没有任何权限,除非被指派(注册表键值被设置为2),这种情况下Windows 2000域用户登录Windows XP计算机时可能会遇到一些潜在的问题。
从Windows 2000 Professional客户端上登录的用户不会遇到任何登录问题,在需要的时候也可以修改他的密码。然we从Windows XP客户端登录的同一个用户可能会在输入新密码后遇到“你没有更改密码的权限”的错误信息。唯一的解决方法是在Windows 2000域控制器上把RestrictAnonymous键的键值由2改为0或者1。要注意修改Windows 2000的设置可能会在域控制器上产生很多公开的状态信息,这些状态信息都能被黑客利用,哪怕是注册表键被设置为1这种小事。有很多工具软件可以收集这些信息,甚至枚举所有的用户帐户信息。这里面的安全风险必须高度注意。