Windows 2000中的组策略简介

来源：yesky 作者：刘彦青编译出处：巧巧读书 2007-10-01 进入讨论组

组策略和AD

　　要充分发挥GPO的功能，需要有AD域架构的支持，利用AD可以定义一个集中的策略，所有的Win2K服务器和工作站都可以采用它。然而，每台运行Win2K的计算机都有一个本地GPO（驻留在本地计算机文件系统上的GPO），通过本地GPO，可以为每台工作站指定一个策略，它在AD域中不起作用。例如，出于安全原因，你不会在AD域中配置公用的计算机。利用本地GPO，可以通过修改本地策略来得到安全性和对台式机的限制使用而无需利用基于AD域的GPO。访问本地GPO的方法有2种，第1种方法，在需要修改GPO的计算机的“开始”菜单上选择“运行”，然后键入：

　　gpedit.msc

　　这个操作的作用与NT 4.0中的poledit.exe相同，可以打开本地策略文件。第2种方法，可以通过在MMC控制台中选择GPE插件，并选择本地或远程计算机来人工地编辑本地GPO。

　　本地GPO支持除软件安装和文件夹重定向之外的所有缺省扩展，因此，只利用本地GPO你不能完成这些工作，如果想充分发挥GPO的功能，还是需要AD的支持。

GPO的多样性和继承

　　在AD中，可以在域、组织单位（OU）或地址三个不同的层次上定义GPO。OU是AD中的一个容器，可以指派它对用户、组、计算机等对象进行管理，地址是网络上子网的集合，地址形成了AD的复制分界线。GPO的名字空间被划分为计算机配置和用户配置两个大类，只有用户和计算机可以使用GPO，象打印机对象甚至用户组都不能应用GPO。

　　在一个域或组织单位（OU）中编辑策略的途径有几种。在活动目录用户或计算机MMC插件中，右击一个域或组织单位（OU），在菜单中选择“属性”，然后选择“组策略”标签。在编辑地址中的策略时，需要右击“活动目录地址和服务”插件，然后右击需要的地址得到其GPO。此外，还可以从“开始”菜单，选择“运行”，然后键入：

　　mmc.exe

　　启动MMC，选择“控制台”，“增加/删除”插件，然后选择“组策略”插件、“浏览”，在AD域内的GPO就会显示出来，可以选择一个GPO进行编辑。转载:http://www.qqread.com/winnt/j671155106.html