48、Windows Server 2008 组策略与策略管理全解析

Windows Server 2008 组策略与策略管理全解析

1. 本地组策略概述

在 Windows 系统及用户账户管理中，存在两种不同类型的策略：本地组策略和 Active Directory 组策略。本地组策略存在于所有 Windows 系统中，而 Active Directory 组策略仅在 Active Directory 林环境中可用。

在 Windows Vista 和 Windows 2008 发布之前，服务器和工作站只能有一个本地计算机策略，该策略包含可应用于本地计算机和用户对象的设置，用于控制安全和配置。然而，在许多环境中，由于遗留系统或业务线应用程序的需求，最终用户常被授予工作站本地管理员组的成员资格，这使得他们能够绕过许多本地和组策略应用的安全设置，可能会损害系统安全或降低系统可靠性。

从 Windows Vista 和 Windows 2008 开始，管理员能够创建多个本地安全策略。新特性包括可以为所有用户、非管理员用户以及本地管理员组用户创建特定的用户配置策略。这对于以工作组或独立模式配置的计算机尤为有价值，可提高计算机的安全性和可靠性。在域配置中，计算机安全策略通常通过组策略指定并应用于 Active Directory 计算机。

1.1 本地计算机策略

默认的本地计算机策略包含开箱即用的策略设置，可用于配置计算机和用户环境。无论是工作组还是域中的计算机和用户对象登录工作站时，都会首先应用此策略。

1.2 非管理员和管理员的本地用户策略

从 Windows Vista 和 Windows 2008 起，管理员可以创建多个本地安全策略。以前，单一的本地计算机策略只