Windows 2000中的组策略简介

来源：yesky 作者：刘彦青编译出处：巧巧读书 2007-10-01 进入讨论组

GPO的执行和过滤

　　只有用户和计算机对象才能执行组策略。在计算机的启动和关闭时，Win2K执行在GPO的计算机配置部分定义的策略，在用户登录和注销时，Win2K执行在GPO中用户配置部分定义的策略。事实上，在用户登录时可以通过手动方式执行一些的策略，例如可以在命令行方式下运行secedit.exe程序执行安全策略应用程序。此外，通过管理员模块策略可以定期地对用户和计算机的GPO设置进行刷新，缺省情况下，这种刷新每90分钟进行一次，这种刷新可以使其他用户不容易修改通过组策略定义的策略。但是，软件安装策略是不会刷新的，因为没有人希望周期性地改变策略引起软件的“缷载”，尤其是有其他用户在使用时，就更是这样了。计算机、用户对象只有在计算机启动或用户登录时才会软件安装策略。

　　尽管只有AD中的计算机和用户对象才能执行GPO，但我们可以过滤GPO的效果。使用Win2K中的安全组、应用组策略━━这是Win2K中的一项新的安全特性，可以使特定的用户组不能执行某一个GPO。右击MMC中GPO的名字，选择“属性”，然后再选择“安全”，就可以看到GPO目前的安全设置。认证用户组具有应用组策略权利，从而附属这一GPO的所有用户可以执行它。在Win2K中，安全组可以包括用户和计算机对象。因此，利用安全组可以仔细地调整用户、计算机对象如何执行一个GPO。你还可以对个别的应用程序应用安全组，可以指派一个GPO的软件安装部分。例如，假设你在一个GPO中发布10个应用程序，可以指定只让金融用户用户组访问其中的5个，其他用户登录到这个域时，它们也不会发现这5个应用程序。

GPO的内部构成

　　一个GPO是由两部分组成的：组策略容器（GPC）和组策略模板（GPT）。GPC是GPO在AD中的一个实例，在一个特殊的被称作系统的容器内有一个128位的全球唯一的ID码（GUID）。在“活动用户目录用户和计算机”插件中选择“浏览”，从MMC菜单中选择“高级属性”，就可以看到“系统”容器。GPT是组策略在Win2K文件系统中的表现，与一个GPO有关的所有文件依赖于GPT。URl收藏 http://www.qqread.com/winnt/j671155106.html