王者荣耀学校同人文:[第4期实录]Windows 2000/XP/2003组策略配置及常见问题（一）

你好，windows xp home版缩减了很多功能，其中就包括组策略。
以下windows版本才有组策略：
windows 2000 pro/server，windows xp pro，windows server 2003，windows vista small business/profession/enterprise和ultimate，以及windows server “longhorn”。
除了这些版本以外，像windows 95/98/me，windows xp home，windows nt都没有组策略的说法，相应的在这些平台是“系统策略”，我们这里说的组策略是windows 2000/xp/2003的组策略，是以前的“系统策略”的更高级扩展，它是由windows 9x/nt的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，当然仅限于上述这些平台可以用，所以我们讨论组策略时，不包含 windows 9x/nt。

windows xp home没有组策略是没错，但是像你说的把其他xp版本里的组策略直接拿来用，还真没那么简单。大致就是用w32dasm等静态反汇编工具来修改xp home的localsec.dll，修改后替换掉原来版本的文件，然后从xp pro复制fde.dll、gpedit.dll、gptext.dll并用regsvr32来注册，还需要将windows xp professional中的c:\windows\inf文件夹里的conf.adm、inetcorp.adm、inetres.adm、inetset.adm、system.adm拷贝到windows xp home相同的位置，运行gpedit.msc，添加之，就可以用了。
反正有点风险，但决不是简单的拷贝就可以直接用上了。我还是建议更换为xp pro，这样比较妥当.

这个问题我也遇到过，在以前旧版本的windows中——我是指2000/xp/2003，方法大多麻烦且缺乏简便的管理途径。但是到了vista中，这个问题已经变得微不足道了。你可以通过组策略中的相关设置集中控制组织中安装的设备。比如创建策略限制usb设备，cd-rw或是dvd-rw驱动器，以及其它的可移动媒体的使用。
鉴于目前大家用xp比较多，在这里我简单的说明如何阻止用户写数据到usb设备。
可以创建自定义adm模版：
限制windows xp sp/2为写保护：

限制windows   xp/sp2以前的计算机。。。（将完全禁用usb设备）

注意，这是有前提条件的，首先，局域网必须以域为架构（我们知道windows 2000、windows xp自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可以在全域实现管理目标，如果不采用域模式，你需要一台一台的设置，失去了效率，也不符合你的“一招搞定”，也就没有采用的必要了）
其次，客户端必须以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用windows 2000和windows xp，虽然windows 98也能在域环境下应用组策略，但windows 2000 server组策略对windows 98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对以后的网络管理带来不便。

说到组策略，得先从注册表说起。注册表是windows系统中保存系统、应用软件配置的数据库，随着windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。
简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。
由此我们知道，注册表能干什么，相应的组策略也能干什么。
比如，桌面设置，个性化的任务栏和开始菜单，ie设置，windows的高级功能，安全设置等等，都可以通过组策略来实现。

QUOTE:原帖由 teainmyeyes 于 2006-11-30 14:12 发表
请问专家，我在日常管理工作中，遇到了一个棘手的问题：
就是在部署策略时，遇到了冲突。同事都不明白是怎么回事。
能不能请专家支个招？
谢谢了~

这是因为组策略有优先级，你要记住这些规则：计算机策略覆盖用户策略；不同层次的策略产生冲突时，子容器上的gpo优先级高；同一容器上多个gpo产生冲突时，处于gpo列表最高位置的gpo优先级最高。
总体原侧就是：后执行的优先级高。
这样，处理方法是：
变更组策略的应用顺序；阻止继承；强制（禁止替代）；避免变更应用顺序。
为了更好的理解，我在这里列举一个例子一起分析一下。
部署组策略时遇到冲突，如何调整要根据实际情况进行分析。由于你没有说明是在什么情况下部署的组策略。那么我要分几个情况来讲述。如果对计算机和对用户的组策略发生冲突，则在缺省情况下，针对计算机的组策略优先；如果是本地组策略和域中组策略发生冲突，那么就要分析一下：如果是域环境下是是域安全策略生效，如果是本地用户登录，则是本地安全策略起作用。
由此我们知道了这个问题的实质就是优先级的高低。本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象，而且它有一个在非本地组策略对象中可用的设置子集。如果二者的设置发生冲突，非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突，则都可以应用。
假设我们以配置用户桌面上有无“网上邻居”图标这一策略项为例来分析组策略冲突时的生效级别。
一、同一ou上多个组策略
我们先在“active directory用户和计算机”中新建一个ou(组织单元)“1”，并在其中新建一个用户“lzy”。然后我们给“1”这个ou建立两个组策略：一个命名为“有‘网上邻居’”，并对其进行配置，停用“隐藏桌面上的‘网上邻居’图标”这一项目；另一个命名为“无‘网上邻居”’，并对其进行配置，启用“隐藏桌面上的‘网上邻居’图标”这一项目。
当这两个互相存在冲突的策略同时作用于 ou“1”时，以排在最上面策略为准(策略由下而上执行，以最后执行的为准)。即用户chen登录时桌面上还是有“网上邻居”图标的。
如果我们对排列在下的“无‘网上邻居”’策略设置了“禁止替代”，或者两者都设置了“禁止替代”，则以排在下面的“无‘网上邻居’”为准，即ou“1”中的用户lzy登录时桌面上将没有“网上邻居”图标。其原因是“禁止替代”具有强行执行的效力，并且，依据“禁止替代的权限不可下降”的原则，先执行的“不可替代”项目将屏蔽掉其后执行的“禁止替代”项目。
二、父ou和子ou
在域上新建ou“2”，并建立它的子ou“2(1)”，同时在子ou“2(1)”中建立用户“yangsir”。
在父ou“2”上新建一个组策略“无‘网上邻居’”，并对其进行相应配置；在子ou“2(1)”上新建组策略“有‘网上邻居’”，并对其进行相应配置。
大家知道一个ou上的组策略在默认情况下是要继承到其子ou上的。而这时子ou中的策略项目和其父ou上的项目存在冲突。在这种情况下，以子ou上的项目为准(先执行父ou上的策略，后执行子ou上的策略，以后执行的为准)，即子ou中的用户yangsir登录时，桌面上仍然有“网上邻居”图标。
另外，与第一种情况相同，如果父ou“2”上的“无‘网上邻居’”策略设置了“禁止替代’，即便是子ou“2 (1)”上的“有‘网上邻居”’也设置了“不可替代”，其最终执行结果依旧以先执行的父ou为准，即桌面无“网上邻居”。
三、“阻止策略继承”与“禁止替代”
“阻止策略继承”将阻断子ou从父级ou乃至更高级 ou或域上继承组策略设置。而在父级ou的策略上设置“禁止替代”，将使设置在子ou上的“阻止策略继承”失效。即这时用户yangsir登录时，产生效果的依旧是从父级ou上继承下来的，被设置为“禁止替代”的策略——“无‘网上邻居’”，这时桌面上将没有“网上邻居”图标。

这个问题并不是三言两语就可以阐述清楚的，我试图用最简单的语言来表达。我假设您明白组策略和活动目录ad最基本的概念，这样我就不用费很多的笔墨来阐述了。组策略与active directory用户中的域和文件夹以及mmc管理单元相关联。组策略授予的权限应用到存储于该文件夹中的计算机上。使用active directory站点和服务管理单元还可将组策略应用到站点。子文件夹从父文件夹继承组策略，子文件夹也可能依次有自己的组策略对象。指派给一个文件夹的组策略可能不止一个。组策略是安全组的补充，可以将单一安全配置文件应用到多台计算机上。它加强了一致性并易于管理。组策略对象包含实现多种类型安全策略的权限和参数。总之，组策略可由父站点传递到子站点和局域网。如果将一个特定组策略指派给高级的父站点，这个组策略会应用到父等级以下所有站点，包括每个容器中的用户和计算机对象。
用一句话来总结：组策略包括应用于域或计算机组的大量安全权限配置文件，一个组策略对象可以应用到局域网内的所有计算机，单个计算机启动时，组策略得以应用，如果作出改动时没有重新启动计算机，组策略会得到定期刷新。

您的问题提得有点含糊不清，我将试图回答，希望能对您有所帮助：
组策略对象（group policy object，简称gpo）--策略的虚拟集合。它有一个唯一的名称，例如一个全局唯一标识符（globally unique identifier，简称guid）。gpo在两个位置存储组策略设置：组策略容器（group policy container，简称gpc）（首选的）和组策略模板（group policy templet，简称gpt）。gpc是一个活动目录对象，存储版本信息、状态信息和其他策略信息（例如应用程序对象）。gpt用于基于文件的数据并且存储软件策略、脚本和配置信息。gpt位于域控制器的系统卷文件夹上。
一个gpo可以与一个或多个活动目录容器相关，例如站点、域或组织单元。多个容器可以与相同的gpo相关联同时一个容器可以与一个或多个gpo相互关联。
此外，缺省的，每一个计算机接受一个只包含指定安全策略的局部组策略对象（local group policy object，简称lgpo）。管理员也可以在单个计算机上设置和应用不同的局部组策略。这对于那些不是域的成员或那些管理员希望删除从域中继承组策略的计算机的情况是有力的。
话说回来，对于这个问题的解答就是：
一个gpo是由两部分组成的：组策略容器（gpc）和组策略模板（gpt）。gpc是gpo在ad中的一个实例，在一个特殊的被称作系统的容器内有一个128位的全球唯一的id码（guid）。在“活动用户目录用户和计算机”插件中选择“浏览”，从mmc菜单中选择“高级属性”，就可以看到“系统”容器。gpt是组策略在win2k文件系统中的表现，与一个gpo有关的所有文件依赖于gpt。
gpo的名字空间被划分为计算机配置和用户配置两个大类，只有用户和计算机可以使用gpo，象打印机对象甚至用户组都不能应用gpo。

可以考虑“power users”组，改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低，但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组，则应仔细地控制该组的成员，并且不要实现用于“受限制的组”设置的指导。
“受限制的组”设置可在 windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置：
计算机配置\windows 设置\安全设置\受限制的组
通过将需要的组直接添加到 gpo 命名空间的“受限制的组”节点上，管理员可以为 gpo 配置受限制的组。
如果某个组受限制，您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全受限。只有通过使用安全模板才能使组受限。
查看或修改“受限制的组”设置：
1.打开“安全模板管理控制台。
注意：默认情况下，“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它，请启动 microsoft 管理控制台 (mmc.exe) 并添加“安全模板”加载项。
2.双击配置文件目录，然后双击配置文件。
3.双击“受限制的组”项。
4.右键单击“受限制的组”。
5.选择“添加组”。
6.单击“浏览”按钮，再单击“位置”按钮，选择需浏览的位置，然后单击“确定”。
注意：通常这会使列表的顶部显示一个本地计算机。
7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。
╟ 或者 -
单击“高级”按钮，然后单击“立即查找”按钮，列出所有可用组。
8.选择需要限制的组，然后单击“确定”。
9.单击“添加组”对话框上的“确定”来关闭此对话框。
对于所列出的组来说，将添加当前不是所列组成员的任何组或用户，而当前已是所列组成员的所有用户或组将从安全模板中删除。
为完全限制“power users”组，此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组（例如“backup operators”组），建议您限制它。

内置的本地管理员帐户是众所周知的帐户名，易于成为攻击者的目标。建议您另外为该帐户选择一个名称，并且避免使用可表明管理身份或较高的访问权限帐户的名称。同时，务必还使用“计算机管理”控制台来更改本地管理员的默认描述。
如果对此帐户进行了重命名，但是忘了更改默认描述：“管理计算机(域)的内置帐户”，这不足以职员的注意力。还一定要记住，如果允许匿名帐户枚举系统上的用户，在很大程度上会与重命名管理员帐户所带来的安全好处相抵消。如果使用“帐户: 重命名系统管理员帐户”设置，重命名此帐户及其描述，会强制攻击者在破解此帐户时，必须找出帐户名和密码，而不是只找出密码。重命名后的帐户名及其描述不应当包括以下术语：root、su、admin、adm 或 supervisor。
因此，建议使用“帐户: 重命名系统管理员帐户”设置，将此帐户重命名为不表明管理或较高特权访问帐户的名称。
这就是孙子兵法的迷魂阵。