群組原則
群組原則(英語:Group Policy)是微軟Windows NT家族作業系統的一個特性,它可以控制使用者帳戶和電腦帳戶的工作環境。群組原則提供了作業系統、應用程式和Active Directory中使用者設定的集中化管理和組態。群組原則的其中一個版本名為本機群組原則(縮寫「LGPO」或「LocalGPO」),這可以在獨立且非域的電腦上管理群組原則對象。[1][2]
操作
[編輯]群組原則在部份意義上是控制使用者可以或不能在電腦上做什麼,例如:施行密碼複雜性策略避免使用者選擇過於簡單的密碼,允許或阻止身分不明的使用者從遠端電腦連接到網路共享,阻止訪問Windows工作管理員或限制訪問特定資料夾。這樣一套組態被稱為群組原則對象(Group Policy Object,GPO)。
作為微軟IntelliMirror技術的一部份,群組原則旨在減少使用者支援成本。IntelliMirror技術涉及已斷開機器或漫遊使用者的管理,並包括漫遊使用者設定檔、資料夾重新導向和離線檔案。
施行
[編輯]要完成一組電腦的中央管理目標,電腦應該接收和執行群組原則對象。駐留在單台電腦上的群組原則對象僅適用該台電腦。要套用一個群組原則對象到一個電腦組,群組原則依賴於Active Directory(或第三方產品,例如ZENworks Desktop Management)進行分發。Active Directory可以分發群組原則對象到一個Windows域中的電腦。
預設情況下,系統每90分鐘重新整理一次群組原則,隨機偏移30分鐘。在域控制器上,系統則每隔5分鐘重新整理一次。在重新整理時,系統會發現、取得和套用所有適用這台電腦和已登入使用者的群組原則對象。某些設定,例如自動化軟體安裝、驅動器對映、啟動指令碼或登入指令碼,只在啟動或使用者登入時套用。從Windows XP開始,使用者可以從命令列提示符使用 gpupdate
命令手動啟動群組原則重新整理。[3]
群組原則對象會按照以下順序(從上向下)處理:[4]
- 本機 - 任何在本機電腦的設定。在Windows Vista之前,每台電腦只能有一份本機群組原則。在Windows Vista和之後的Windows版本中,允許每個使用者帳戶分別擁有群組原則。[5]
- 站點 - 任何與電腦所在的Active Directory站點關聯的群組原則。(Active Directory站點是旨在管理促進物理上接近的電腦的一種邏輯分組)。如果多個策略已連結到一個站點,將按照管理員設定的順序處理。
- 域 - 任何與電腦所在Windows域關聯的群組原則。如果多個策略已連結到一個域,將按照管理員設定的順序處理。
- 組織單元 - 任何與電腦或使用者所在的Active Directory組織單元(OU)關聯的群組原則。(OU是說明組織和管理一組使用者、電腦或其他Active Directory對象的邏輯單元)。如果多個策略已連結到一個OU,將按照管理員設定的順序處理。
套用到指定電腦或使用者的群組原則設定結果被稱為策略結果集(RSoP)。可以使用 gpresult
命令顯示電腦和使用者的RSoP資訊。[6]
繼承
[編輯]群組原則設定內部是一個分層結構,父傳子、子傳孫,以此類推,這被稱為「繼承」。它可以控制阻止或施行策略套用到每個層級。如果進階別的管理員建立了一個具有繼承性的策略,而低層級的管理員策略與此相悖,此策略仍將生效。
在群組原則偏好設定已組態並且同等的群組原則設定已組態時,群組原則設定將會優先。
過濾
[編輯]WMI過濾是群組原則通過Windows管理規範(WMI)過濾器來選擇套用範圍的一個流程。過濾器允許管理員只套用群組原則到特定情況,例如特定型號、主記憶體、已安裝軟體或任何WMI可查詢條件的特定情況的電腦。
本機群組原則
[編輯]本機群組原則(Local Group Policy,縮寫LGP或LocalGPO)是群組原則的基礎版本,它面向獨立且非域的電腦。在Windows Vista以前,LGP可以強制施行群組原則對象到單台本機電腦,但不能將策略套用到使用者或組。從Windows Vista開始,LGP允許本機群組原則管理單個使用者和組,[1]並允許使用「GPO Packs」在獨立電腦之間備份、匯入和匯出群組原則——群組原則容器包含匯入策略到目標電腦的所需檔案。[2]
群組原則偏好
[編輯]曾經有一批群組原則設定擴充,它被稱為PolicyMaker。微軟收購了PolicyMaker並將其整合到Windows Server 2008。微軟之後發布了遷移工具,允許使用者遷移PolicyMaker設定項到群組原則偏好。[7]
群組原則偏好添加了許多新的組態項。這些偏好中有大量的目標選項,可以用來精確控制要設定的應用程式。
群組原則偏好相容x86和x64版本的Windows XP、Windows Server 2003和Windows Vista加Client Side Extensions(也稱CSE)。[8][9][10][11][12][13]
Client Side Extensions現已整合到Windows Server 2008、Windows 7和Windows Server 2008 R2。
群組原則管理控制台
[編輯]在最初,群組原則是使用「群組原則編輯」工具進行修改,它與Active Directory使用者和電腦的微軟管理控制台(MMC)外掛程式整合,但後來它被分割成一個獨立的MMC外掛程式,被稱為群組原則管理控制台。群組原則管理控制台現在是Windows Server 2008和Windows Server 2008 R2中的一個使用者群組件,並在Windows Vista和Windows 7中作為一個「遠端伺服器管理工具」可下載組件。[14][15][16][17]
進階群組原則管理
[編輯]微軟發布過一個稱之為「進階群組原則管理」(Advanced Group Policy Management)的工具來更改群組原則[18]。此工具可供任何微軟桌面最佳化包授權的組織使用。此進階工具允許管理員檢查/簽出群組原則對象的更改,跟蹤群組原則對象的變更,以及對群組原則對象的更改實施稽核工作流。
AGPM工具由兩個部份組成——伺服器和客戶端。伺服器是一個Windows服務,它在同一台電腦或網路共享上的存檔位置儲存其群組原則對象。客戶端是群組原則管理控制台的一個外掛程式,並連接到AGPM伺服器。客戶端可通過群組原則組態。
安全
[編輯]群組原則設定是由目標應用程式自願實施的。在許多情況下,這只是禁止訪問特定功能的使用者介面。[19]
另外,惡意使用者可以修改或干擾應用程式,使其不能成功讀取群組原則設定,從而實行更低或者預設的安全設定。[20]
Windows 8增強
[編輯]Windows 8引入了一個名為「群組原則更新」的新功能。此功能允許管理員強制在特定組織單位的所有電腦帳戶上更新一個群組原則。這會在電腦上建立一個工作排程器,在10分鐘內執行GPUPDATE命令,具體開始時間隨機調整,以免域控制器過載。
「群組原則基礎設施狀態」已被引入,並可報告任何「群組原則對象」是否沒有正確複製域控制器。[21]
「群組原則結果報告」也是一個新功能,它會在執行「群組原則更新」時執行。[22]
參考資料
[編輯]- ^ 1.0 1.1 Step-by-Step Guide to Managing Multiple Local Group Policy Objects. [2016-06-12]. (原始內容存檔於2020-07-22). 參照錯誤:帶有name屬性「LGPO」的
<ref>
標籤用不同內容定義了多次 - ^ 2.0 2.1 存档副本. [2016-06-12]. (原始內容存檔於2014-06-23). 參照錯誤:帶有name屬性「LGPO2」的
<ref>
標籤用不同內容定義了多次 - ^ Gpupdate. [2016-06-12]. (原始內容存檔於2018-02-03).
- ^ Group Policy processing and precedence. Microsoft Corporation. 22 April 2012 [2016-06-12]. (原始內容存檔於2016-03-07).
- ^ Group Policy - Apply to a Specific User or Group - Windows 7 Forums. [2016-06-12]. (原始內容存檔於2021-04-11).
- ^ Microsoft TechNet: Gpresult. [2016-06-12]. (原始內容存檔於2017-08-26).
- ^ Group Policy Preference Migration Tool (GPPMIG) 網際網路檔案館的存檔,存檔日期2009-12-24.
- ^ Group Policy Preference Client Side Extensions for Windows XP (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04).
- ^ Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04).
- ^ Group Policy Preference Client Side Extensions for Windows Vista (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04).
- ^ Group Policy Preference Client Side Extensions for Windows Vista x64 Edition (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04).
- ^ Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04).
- ^ Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729). [2016-06-12]. (原始內容存檔於2010-09-04).
- ^ Microsoft Group Policy Team. How to Install GPMC on Server 2008, 2008 R2, and Windows 7 (via RSAT). 2009-12-23 [2016-06-12]. (原始內容存檔於2009-12-26).
- ^ Microsoft Remote Server Administration Tools for Windows Vista. [2016-06-12]. (原始內容存檔於2010-09-01).
- ^ Microsoft Remote Server Administration Tools for Windows Vista for x64-based Systems. [2016-06-12]. (原始內容存檔於2010-08-19).
- ^ Remote Server Administration Tools for Windows 7. [2016-06-12]. (原始內容存檔於2011-11-28).
- ^ Microsoft Windows Enterprise | Enhancing Group Policy. [2016-06-12]. (原始內容存檔於2011-10-06).
- ^ Raymond Chen, "Shell policy is not the same as security" (頁面存檔備份,存於網際網路檔案館)
- ^ Mark Russinovich, "Circumventing Group Policy as a Limited User (頁面存檔備份,存於網際網路檔案館)
- ^ Updated: What’s new with Group Policy in Windows 8. [2016-06-12]. (原始內容存檔於2021-02-26).
- ^ Windows 8 Group Policy Performance Troubleshooting Feature. [2016-06-12]. (原始內容存檔於2021-02-26).
拓展閱讀
[編輯]- Group Policy for Beginners. Windows 7 Technical Library. Microsoft. 27 April 2011 [22 April 2012]. (原始內容存檔於2017-08-26).
- Group Policy Management Console. Dev Center - Desktop. Microsoft. 3 February 2012 [22 April 2012]. (原始內容存檔於2017-05-10).
- Step-by-Step Guide to Managing Multiple Local Group Policy Objects. Windows Vista Technical Library. Microsoft. [22 April 2012]. (原始內容存檔於2017-08-26).
- Group Policy processing and precedence. Windows Server 2003 Product Help. Microsoft. 21 January 2005 [22 April 2012]. (原始內容存檔於2016-03-07).
外部連結
[編輯]- 官方網站(英文)
- 群組原則團隊部落格(英文)
- Windows和Windows Server的群組原則設定參考資料 (頁面存檔備份,存於網際網路檔案館)(英文)