组策略主要提供以下功能:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Ø       帐户策略设定案 例如:用户密码长度、密码使用期限、帐户锁定策略。

Ø       本地策略 例如:审核设置、用户权限指派、安全性能设置。

Ø       脚本(scripts)的设定  例如:登录/注销、启动/关机脚本的设置

Ø       用户工作环境的设定  例如:隐藏用户桌面上的图标等。

Ø       软件的安装与删除  例如:用户登录或计算机启动时,自动为用户安装软件、自动修复应用软件或自动删除应用软件。

Ø       限制软件的运行例如:主要用来限制对软件的使用。

Ø       文件移动  例如:改变“我的文档”、“开始菜单”等文件夹的存储位置。

Ø       计算机配置例如:当启动计算机时,系统就会根据“计算机”配置的内容来配置计算机的环境。

Ø       用户配置例如:主要是用来设定用户的工作环境。
 
组策略对象GPO(Group Policy Object)

组策略是通过“GPO”来设定的。

GPO主要有三种:

点击在新窗口查看全图 点击在新窗口查看全图
一、内建的GPO

   系统已经有两个内建的GPO,分别是:

Ø       Default Domain Policy 此GPO已经被链接到域,因此它的设置会被应用到整个域内的所有用户与计算机。

Ø       Default Domain Controller Policy  此GPO已经被链接到Domain Controller OU,因此它的设定值会被应用到域控制器组织单位内的所有用户与计算机。

二、GPO内容

       GPO的内容被分为GPC与GPT两部分:

Ø       GPC组策略容器(Group Policy Container):被存储在Active Directory数据库内,它记载着此GPO的属性与版本等数据。

查看方法:

      Active Directory用户和计算机→查看→高级→选择域→展开system容器→Policies

点击在新窗口查看全图
Ø       GPT(Group Policy Template)

      用来存储GPO的配置值与相关文件,它是一个文件夹,而且是被建立在域控制的%systemroot%\SYSVOL\SYSVOL\域名称\Policies文件夹内.

三、组策略应用时机

         当修改了站点、域或OU的GPO配置后,这些设置并不是立刻就会对站点、域或OU内的用户与计算机生效,而是必须等它们被应用到用户或计算机后才有效。

组策略配置启用时间:

Ø       计算机开机时自动启用。

Ø       如果计算机不重启,系统仍然会每隔一段时间自动启用:

¨       域控制器  默认每隔5分钟自动启用

¨       非域控制器 默认每隔90∽120分钟自动启用。

¨       不管策略配置值是否有变动,系统仍然会每隔16小时自动启用一次

Ø         手动启用:gpupdate /target:computer /force

注:“软件安装策略”、“文件夹重定向策略”必须计算机重启