探索中国CIO人才现状 | 第四季调研报告
Windows管理员如何学习组策略基础知识
2015-11-03  来源:techtarget

组策略的存在时间已经超过了15年。每个Windows Server版本中都会引入新特性,但是组策略的基础内容自从Windows 2000引入以来基本上没有发生变化。

通过使用组策略,Windows管理员可以为用户和计算机实现特定的配置以及定义安全、用户和网络策略。这些设置集合在一起叫做组策略对象(Group Policy Object,GPO)。

Windows Server 2016的配置过程作了一些调整,但组策略的设置仍应用在本地、站点、域和组织单元(OU)级别。GPO的级别是很重要的,因为新策略会覆盖先前应用的策略。以防万一,管理员应该在较高的级别进行设置,因为级别越高影响到的用户就越多。相反,特定的设置应该设置在较低的级别,这样就不容易被遗漏。

管理员可以使用多种方法对组策略进行管理,包括本地组策略编辑器、组策略管理控制台(GPMC)和PowerShell。本地组策略编辑器是微软管理控制台一个嵌入式的管理单元。PowerShell命令自Windows Server 2008版本开始引入 。

虽然有这么多工具和方法,但学习如何使用却有些让人望而生畏。但是Jeremy Moskowitz的书《Group Policy: Fundamentals, Security, and the Managed Desktop》(《组策略:基本原理、安全与托管桌面》)可以帮助管理员学习并驾驭组策略。

Moskowitz建议管理员设置一个测试实验室,以及一个真正的机器或者虚拟硬件,按照书中的例子学习配置和安装流程。下面是第一章摘录,更多细节可以下载阅读:

用户和计算机节点下的第一级别包含软件设置、Windows设置和管理模板。打开计算机的管理模板节点,我们会发现额外的级别,包括Windows组件、系统、忘了和打印机。同样,用户节点的管理模板下包含了相同的文件夹以及其他一些,包括共享文件夹、桌面、开始菜单和任务栏。

在用户和计算机部分,你会发现策略设置是分等级的,就像一个目录结构。相似的组策略设置集合在一起方便查询。不过这是理想的——不可否认,有时候想要找到某个具体的策略或配置事实上极具挑战。