日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Windows 2000中的組策略簡介( 三 )

云知道


盡管只有AD中的計算機和用戶對象才能執(zhí)行GPO,但我們可以過濾GPO的效果 。使用Win2K中的安全組、應(yīng)用組策略━━這是Win2K中的一項新的安全特性,可以使特定的用戶組不能執(zhí)行某一個GPO 。右擊MMC中GPO的名字,選擇“屬性”,然后再選擇“安全”,就可以看到GPO目前的安全設(shè)置 。認證用戶組具有應(yīng)用組策略權(quán)利,從而附屬這一GPO的所有用戶可以執(zhí)行它 。在Win2K中,安全組可以包括用戶和計算機對象 。因此,利用安全組可以仔細地調(diào)整用戶、計算機對象如何執(zhí)行一個GPO 。你還可以對個別的應(yīng)用程序應(yīng)用安全組,可以指派一個GPO的軟件安裝部分 。例如,假設(shè)你在一個GPO中發(fā)布10個應(yīng)用程序,可以指定只讓金融用戶用戶組訪問其中的5個,其他用戶登錄到這個域時,它們也不會發(fā)現(xiàn)這5個應(yīng)用程序 。
GPO的內(nèi)部構(gòu)成
一個GPO是由兩部分組成的:組策略容器(GPC)和組策略模板(GPT) 。GPC是GPO在AD中的一個實例,在一個特殊的被稱作系統(tǒng)的容器內(nèi)有一個128位的全球唯一的ID碼(GUID) 。在“活動用戶目錄用戶和計算機”插件中選擇“瀏覽”,從MMC菜單中選擇“高級屬性”,就可以看到“系統(tǒng)”容器 。GPT是組策略在Win2K文件系統(tǒng)中的表現(xiàn),與一個GPO有關(guān)的所有文件依賴于GPT 。
GPO帶來的難題
雖然GPO的功能很強大,但要掌握它可不容易 。最難掌握的是如何判斷一條有效的策略如何對域中的計算機或用戶起作用,由于GPO可以存在于AD鏈中不同的層次上,這種判斷就特別困難 。同時,由于可以指派一個GPO的控制,因此不大容易清楚其他的GPO是否會對你沒有控制權(quán)的容器中的GPO有影響 。因此,計算一個計算機或用戶對象接收的“策略的結(jié)果集”(RSoP)是相當困難的 。盡管微軟還沒有提供計算RSoP的工具,但已經(jīng)有第三方廠商提供了相應(yīng)的計算RSoP的工具 。
另一個難題是策略的執(zhí)行 。如果在AD鏈上的許多層次上都存在有GPO,在用戶每次登錄或系統(tǒng)啟動時都會執(zhí)行所有的GPO 。在Win2K系統(tǒng)中,微軟推出了一些新的功能來優(yōu)化系統(tǒng)的性能 。首先,GPO的版本信息依賴于工作站和GPO,如果GPO沒有變化,系統(tǒng)就不會執(zhí)行它 。另外,在GPE的屬性頁上,可以禁止用戶或計算機對GPO的執(zhí)行 。如果建立一個GPO用來分發(fā)關(guān)閉系統(tǒng)或啟動系統(tǒng)時的腳本,禁用GPO的用戶配置部分,這樣會使工作站不能解析GPO并判斷它是否已經(jīng)發(fā)生了什么變化 。
最后的一個難題起源于GPC和GPT是兩個單獨的實體 。GPC是AD中的一個對象,它與GPT中包含的文件的復(fù)制不同步,這意味著創(chuàng)建一個GPO時,在GPT開始向域控制器上的Sysvol復(fù)制文件之前GPC可能已經(jīng)開始進行復(fù)制了 。
所有問題的起源都是由于AD使用了一種多主體的復(fù)制模式 。理論上,當另一個系統(tǒng)管理員在一個域控制器上編輯一個GPO時,你也可以在某個域上對它進行編輯 。因此,當建立一個GPE時,缺省狀態(tài)下指的是在“操作主體”中充當PDC的域控制器 。(“操作主體”是AD基礎(chǔ)結(jié)構(gòu)中的一系列托管功能,用作PDC的服務(wù)器可以兼容運行NT和Win9x的工作站 。)一般情況下,可以通過只向少數(shù)的系統(tǒng)管理員授予編輯GPO的權(quán)利來避免這種情況的發(fā)生,并保證如果有人在編輯GPO時,讓其他的人都知道 。此外,需要注意的是,在對一個GPO進行編輯時,要“禁止”它,修改結(jié)束后重新使能 。
GPO的優(yōu)缺點
GPO的優(yōu)點是可以讓用戶靈活地控制Win2K環(huán)境,但伴隨著靈活性而來的是復(fù)雜性 。如果能夠正確、靈活地運用GPO,就能使Win2K發(fā)揮出更加強大的功能 。

推薦閱讀