Windows 2008 R2组策略之二——GPO初探

与前一篇博文发表已经相去月余了，实在是有些不好意思了。感谢51CTO的大编们将小文加了推荐，这使我更加觉得自己产出太少，难于回馈大家的厚爱。

今天将这个系列的第二篇奉献给大家，以伺视听。

在上篇小文中，我们谈及组策略管理工具——组策略管理器的使用，今天我们来谈谈组策略管理器管理的对象——GPO（组策略对象）。GPO是我们接下来的系列文章要重点讨论的对象，那么什么是GPO呢？通俗地讲，就是组策略的载体，在它的内部“装载”了对于计算机和用户的大大小小的配置选项，即“组策略”。在Windows 2008 R2中，这些策略一共有3000多条，涉及到域管理的方方面面。本文将对组策略对象进行初步探讨。

首先，让我们接续上篇博文。我们已经在beijing域中创建了一个名为market的OU，并创建了一个同样名为market的GPO。现在，让我们将鼠标定位在该GPO上，在控制台的右侧的结果集中将显示如图一的画面。

图一

这幅图上，大家可以看到4个标签页：作用域、详细信息、设置、委派，它就是用来对GPO进行设置的。首先，让我们看看“作用域”标签页上面的内容。此页分上中下三个部分，最上面是“链接”。在此，你可以选择此GPO能够在什么位置显示，默认是在所属域中；还可以看到该GPO所链接的位置，以及目前的状态是否启用，是否是强制的，路径是什么。这样你可以非常直观地了解此GPO的状态。在中部，显示“安全筛选”项。此处使你可以了解此GPO作用的对象，并可以添加和删除对象，这些对象包括组、用户和计算机。默认情况下，授权用户这个内置安全主体为授权对象。最下面是WMI筛选器，用来配合Windows脚本自动定义该GPO的作用域。此内容属于组策略高级管理范畴，会在今后的博文中予以介绍，敬请期待啊。呵呵呵。。。。

第二个标签页是：详细信息，见图二。

图二

在该页中，可以查看该GPO的详细信息，包括：所属域、所有者、创建及修改时间，最重要的的是用户版本和计算机版本，这两个版本指明了该GPO中关于用户配置和计算机配置被更改的次数，以及这种更改在AD数据库和SYSVOL中的状态，即是否已经被同步到AD的数据库中了。还有就是唯一ID和GPO状态。

第三个标签页为“设置”，如图三。

图三

点击“设置”标签页时，系统会搜集该GPO的详细配置信息，并在结果集中呈现给用户，以便用户详细了解对于哪些配置项进行了什么样的配置，并可以将其导出或打印，非常方便。

第四个标签页是“委派”，熟悉Windows管理的用户应该了解这是做权限配置的地方，见图四。

图四

类似于Windows中的权限设置，在此你可以添加用户、组，并为它们设置对于该GPO的权限。这里要强调的是： 如果你想让一个用户应用该GPO的配置项，那么最少要给他读取的权限。除此以外，还可以设置GPO的继承性。关于组策略的权限和继承方面的问题，将另文讨论。

上面我们介绍了GPO的4个设置标签页的作用，接下来让我们拿一个小例子来感性地领略一下GPO。在上篇文章中提到，组策略的链接遵从的是SDOU原则，即组策略只能作用于S——Site（站点）、D——Domain（域）、OU——Organizition Unit（组织单位）。我们已经创建了一个OU，并链接了一个GPO，那么是否属于该OU的用户就一定能够应用该GPO的设置呢？我们用事实来证明！

首先，我们在market下创建两个域用户张三和李四，他们的登录名分别是zhangsan和lisi，在默认状态下，分别用这两个用户账户在客户机上登录，并打开浏览器来验证结果（由于我们配置了更改浏览器标题的配置项）。

GPO默认状态

张三登录

张三登录后浏览器标题变更的效果，同样当李四登录后也会收到同样的效果。现在我们将GPO的配置稍微调整一下，将作用域标签页中安全筛选中的授权用户删除，并只添加张三，如下图：

只有张三

同时在委派标签中看到张三被授予读取权限，而授权用户组没有了

我们再次将登录用户切换回张三，发现组策略的配置项对张三是生效的。此时，我们换李四来登录并验证，效果如下图：

李四登录

不起作用

从实验结果来看，虽然组策略被链接在了OU上，但通过调整GPO的安全设置，可以做到为处于同一个OU容器中的不同对象配置不同的选项。当然，在更改了GPO的各种配置后别忘记更新，如图：

组策略更新

对于用户的组策略配置项的更新，只要用户注销后再登录就可以应用，对于计算机的配置需要重启计算机后才会被应用。

本文对于组策略的应用做了初步的探讨，欢迎大家指正。

本文出自 “中国極道” 博客，请务必保留此出处http://loveunicom.blog.51cto.com/121558/382551