WindowsServer2008組策略詳解要點

1、組策略詳解更新時間：2009年1月應(yīng)用到：Windows Server 2008可以使用Windows Server 2008組策略來管理計算機(jī)和用戶組配置，包括以下各項所對應(yīng)的選項： 基于注冊表的策略設(shè)置、安全設(shè)置、軟件部署、腳本、文件夾重定向以及首選項。Win dowsServer 2008中新增的組策略首選項是二十多個組策略擴(kuò)展，用于擴(kuò)展組策略對象（GPO）中的可配置策略設(shè)置的范圍。與組策略設(shè)置相比，首選項是非強(qiáng)制性的。用戶可以在初始部署后更改首選 項。有關(guān)組策略首選項的信息，請參閱 組策略首選項概述（可能為英文網(wǎng)頁）。通過使用組策略，您可以大大降低組織的總擁有成本。各種各樣的因素可能會

2、使組策略設(shè)計變得非 常復(fù)雜，例如，大量可用的策略設(shè)置、多個策略之間的交互以及繼承選項。通過仔細(xì)規(guī)劃、設(shè)計、 測試并部署基于組織業(yè)務(wù)要求的解決方案， 您可以提供組織所需的標(biāo)準(zhǔn)化功能、 安全性以及管理控 制。組策略概述組策略在運(yùn)行 Windows Server 2008、WindowsVista、WindowsServer 2003 和 Windows XP 的 計算機(jī)上啟用基于Active Directory 的用戶和計算機(jī)設(shè)置更改和配置管理。除了使用組策略為用 戶和計算機(jī)組定義配置以外，還可以配置很多服務(wù)器特定的操作和安全設(shè)置，以便使用組策略幫助 管理服務(wù)器計算機(jī)。您創(chuàng)建的組策略設(shè)置包含在 G

3、PO中。若要創(chuàng)建和編輯GPO請使用組策略管理控制臺（GPMC）。通 過使用GPMC將 GPO鏈接到選定Active Directory 站點、域和組織單位（OU），您可以將GPO中 的策略設(shè)置應(yīng)用于這些Active Directory對象中的用戶和計算機(jī)。OU是可以分配組策略設(shè)置的最低級別的Active Directory 容器。為指導(dǎo)您的組策略設(shè)計決策，您需要清楚地了解組織的業(yè)務(wù)需求、服務(wù)級別協(xié)議以及安全、網(wǎng)絡(luò)和 IT要求。通過分析當(dāng)前的環(huán)境和用戶要求，使用組策略定義要實現(xiàn)的業(yè)務(wù)目標(biāo)，以及按照這些準(zhǔn) 則設(shè)計組策略基礎(chǔ)結(jié)構(gòu)，您可以確定最符合組織需要的方法。用于實現(xiàn)組策略解決方案的過程用于實現(xiàn)組

4、策略解決方案的過程涉及規(guī)劃、設(shè)計、部署和維護(hù)解決方案 在規(guī)劃組策略設(shè)計時，請確保設(shè)計 OU結(jié)構(gòu)以簡化組策略管理并符合服務(wù)級別協(xié)議。應(yīng)制訂使用 GPO的正確操作步驟。確保您了解組策略互操作性問題，并確定是否打算使用組策略進(jìn)行軟件部署在設(shè)計階段：*定義組策略的應(yīng)用范圍確定適用于所有企業(yè)用戶的策略設(shè)置基于角色和位置對用戶和計算機(jī)進(jìn)行分類。.基于用戶和計算機(jī)要求規(guī)劃桌面配置。規(guī)劃完善的設(shè)計有助于確保成功部署組策略。部署階段從測試環(huán)境中的暫存過程開始。該過程包括：創(chuàng)建標(biāo)準(zhǔn)桌面配置。篩選GPO的應(yīng)用范圍。，指定默認(rèn)組策略繼承的例外情況。委派組策略管理。使用組策略建模評估有效的策略設(shè)置。.使用組策略結(jié)果評估

5、這些結(jié)果。暫存過程至關(guān)重要。應(yīng)在測試環(huán)境中全面測試組策略實現(xiàn)，然后再將其部署到生產(chǎn)環(huán)境中。完成暫 存和測試后，請使用GPMC將 GPO遷移到生產(chǎn)環(huán)境中。應(yīng)考慮循環(huán)反復(fù)的組策略實現(xiàn)：并非部署 100種新組策略設(shè)置，而是最初暫存并僅部署幾種策略設(shè)置以驗證組策略基礎(chǔ)結(jié)構(gòu)是否正常工作。最后，制訂使用組策略以及通過 GPMC解決GPO問題的控制過程以準(zhǔn)備維護(hù)組策略。-備注Microsoft高級組策略管理（AGPM）通過提供全面的更改控制和增強(qiáng)的 GPO管理來擴(kuò)展GPMC功 能。有關(guān)AGPM的詳細(xì)信息，請訪問Microsoft 桌面優(yōu)化包（MDOP）網(wǎng)站（）（可能為英文網(wǎng)頁）。在設(shè)計組策略解決方案之前需要

6、執(zhí)行的操作在設(shè)計組策略實現(xiàn)之前，您需要了解當(dāng)前的組織環(huán)境并需要在以下幾個方面執(zhí)行預(yù)備步驟：* Active Directory:確保林中所有域的 Active Directory OU設(shè)計都支持應(yīng)用組策略。有關(guān)詳細(xì)信息，請參閱本指南后面部分中的 設(shè)計支持組策略的OU結(jié)構(gòu)。網(wǎng)絡(luò)：確保您的網(wǎng)絡(luò)符合更改和配置管理技術(shù)的要求。例如，由于組策略使用完全限定的域 名，因此，您必須在林中運(yùn)行目錄名稱服務(wù)（DNS）才能正確處理組策略。*安全：獲取域中當(dāng)前使用的安全組的列表。在委派組織單位管理責(zé)任以及創(chuàng)建需要安全組篩選的設(shè)計時，應(yīng)與安全管理員緊密合作。有關(guān)篩選GPO的詳細(xì)信息，請參閱本指南后面部分中的定義組策略

7、的應(yīng)用范圍 中的“將GPO應(yīng)用于選定的組（篩選） IT要求：獲取域中的管理所有者以及企業(yè)的域和 0U管理標(biāo)準(zhǔn)的列表。這樣，您便可以制 訂正確的委派計劃并確保正確繼承組策略。一備注組策略取決于網(wǎng)絡(luò)、安全和 Active Directory ;因此，了解這些技術(shù)是至關(guān)重要的。強(qiáng)烈建議先 熟悉這些概念，然后再實現(xiàn)組策略。組策略的管理要求若要使用組策略，您的組織必須使用 Active Directory，并且目標(biāo)桌面和服務(wù)器計算機(jī)必須運(yùn)行Windows Server 2008、Windows Vista、Windows Server 2003 或 Windows XP。默認(rèn)情況下，只有 Domain

8、Admins或Enterprise Admins組的成員能夠創(chuàng)建和鏈接 GPQ但您可 以將此任務(wù)委派給其他用戶。有關(guān)組策略管理要求的詳細(xì)信息， 請參閱本指南后面部分中的 委派組 策略管理。GPMCGPMC跨組織的多個林以統(tǒng)一的方式管理組策略的各個方面?？梢允褂肎PMC管理網(wǎng)絡(luò)中的所有GPO WindowsManagementnstrumentation(WMI)篩選器以及與組策略有關(guān)的權(quán)限。可以將 GPMC視為主要的組策略訪問點，GPMC界面中提供了所有組策略管理工具。GPMC包含一組用于管理組策略的可編腳本界面以及一個基于MMC的用戶界面(UI)。WindowsServer 2008附帶提供

9、了 32位和64位版本的GPMCGPMC提供了以下功能：導(dǎo)入和導(dǎo)出GPO*復(fù)制和粘貼GPO*備份和還原GPO*搜索現(xiàn)有的GPO*報告功能。*組策略建模。用于模擬策略的結(jié)果集(RsoP)數(shù)據(jù)以規(guī)劃組策略部署，然后再在生產(chǎn)環(huán)境中 實現(xiàn)組策略。*組策略結(jié)果。用于獲取 RSoP數(shù)據(jù)以查看GPO交互和解決組策略部署問題。支持遷移表以便于跨域和林導(dǎo)入和復(fù)制 GPO遷移表是一個文件，可以將對源 GPO中的用 戶、組、計算機(jī)和通用命名約定(UNC)路徑的引用映射到目標(biāo) GPO中的新值。在HTML報告中報告GPO設(shè)置和RSoP數(shù)據(jù)，您可以保存和打印這些報告?？删幠_本的界面，可以在其中執(zhí)行 GPMC中提供的所有操

10、作。不過，無法使用腳本編輯 GPO 中的各個策略設(shè)置。一備注Windows Server 2008不包含GPMC早期版本提供的GPMC示例腳本。不過，您可以從組策略管 理控制臺示例腳本（可能為英文網(wǎng)頁）中下載適用于 Win dows Server 2008的GPMC示例腳本。 有關(guān)使用GPMC示例腳本的詳細(xì)信息，請參閱本指南后面部分中的 使用腳本管理組策略。使用GPMC可大大提高組策略部署的可管理性；由于它提供了改進(jìn)且簡化的組策略管理界面，您可 以充分利用組策略的強(qiáng)大功能。設(shè)計支持組策略的OU結(jié)構(gòu)在Active Directory環(huán)境中，可通過將GPO鏈接到站點、域或OU來分配組策略設(shè)置。通常

11、，大多數(shù)GPO是在OU級別分配的，因此，請確保 OU結(jié)構(gòu)支持基于組策略的客戶端管理策略。您 還可以在域級別應(yīng)用某些組策略設(shè)置，尤其是密碼策略等設(shè)置。只有很少的策略設(shè)置是在站點級別應(yīng)用的。設(shè)計完善的OU結(jié)構(gòu)可反映組織的管理結(jié)構(gòu)并利用 GPO繼承，這種結(jié)構(gòu)可以簡化組策略 的應(yīng)用過程。例如，設(shè)計完善的 OU結(jié)構(gòu)可防止復(fù)制某些 GPQ以便將這些GPO應(yīng)用于組織的不 同部分。如果可能，請創(chuàng)建 OU以委派管理權(quán)限和幫助實現(xiàn)組策略。OU設(shè)計要求綜合考慮獨立于組策略需求委派管理權(quán)限的要求以及組策略需應(yīng)用范圍需求。以下OU設(shè)計建議解決了委派和作用域問題：委派管理權(quán)限：可以在域中創(chuàng)建OU,并將對特定OU的管理控制

12、委派給特定用戶或組。OU結(jié) 構(gòu)可能會受委派管理權(quán)限的要求的影響。*應(yīng)用組策略：在設(shè)計OU結(jié)構(gòu)時，應(yīng)主要考慮要管理的對象。您可能需要創(chuàng)建一種結(jié)構(gòu)，按 靠近頂級的工作站、服務(wù)器和用戶組織OU。根據(jù)您的管理模型，您可以將基于地理位置的 OU 視為其他OU的子或父OU,然后為每個位置復(fù)制這種結(jié)構(gòu)以避免在不同的站點中進(jìn)行復(fù)制。 只有在以下情況下才能在下面添加 OU:這種做可使組策略應(yīng)用更清晰，或者您需要在這些 級別下面委派管理。通過使用OU包含同類對象（如用戶或計算機(jī)對象，但不能同時包含兩者）的結(jié)構(gòu)，您可以輕松禁 用GPO中不應(yīng)用于特定類型對象的部分。 圖1中說明的OU設(shè)計方法降低了復(fù)雜性，并提高了組

13、策略的應(yīng)用速度。請記住，鏈接到高層 OU結(jié)構(gòu)的GPO是默認(rèn)繼承的，因而不需要將 GPO復(fù)制或 鏈接到多個容器。在設(shè)計Active Directory結(jié)構(gòu)時，最重要的注意事項是簡化管理和委派過程咅式計宣札亞損式i卜和忸將組策略應(yīng)用于新用戶和計算機(jī)帳戶默認(rèn)情況下，新用戶和計算機(jī)帳戶是在 CN=Users和CN=Computers容器中創(chuàng)建的。無法將組策略 直接應(yīng)用于這些容器，但它們會繼承鏈接到域的GPQ若要將組策略應(yīng)用于默認(rèn) Users和Computers容器，您必須使用新的 Redirusr.exe 和Redircomp.exe 工具。Redirusr.exe （用于用戶帳戶）和Redircom

14、p.exe （用于計算機(jī)帳戶）是 Windows Server 2008附 帶提供的兩個工具?？梢允褂眠@些工具更改新用戶和計算機(jī)帳戶的默認(rèn)創(chuàng)建位置，以便更輕松地為新創(chuàng)建的用戶和計算機(jī)對象直接指定 GPO作用域。這些工具位于 %windir%system32中包含 Active Directory服務(wù)角色的服務(wù)器上。通過為每個域運(yùn)行一次 Redirusr.exe 和Redircomp.exe ，域管理員可以指定在創(chuàng)建所有新用戶和 計算機(jī)帳戶時將其放置到的 OU。這樣，管理員就可以使用組策略管理這些未分配的帳戶，然后再 將其分配給最終放置這些帳戶的 OU。請考慮使用組策略提高新用戶和計算機(jī)帳戶的安

15、全性，以限 制用于這些帳戶的OU。知識庫中的文章324949 “在有關(guān)重定向用戶和計算機(jī)帳戶的詳細(xì)信息，請參閱 MicrosoftWin dows Server2003域中重定向用戶和計算機(jī)容器”（）。站點和復(fù)制注意事項在確定適合的策略設(shè)置時，請注意 Active Directory的物理特性，其中包括站點的地理位置、域控制器的物理位置以及復(fù)制速度。GPO存儲在Active Directory 和每個域控制器上的Sysvol文件夾中。這些位置具有不同的復(fù)制 機(jī)制。如果懷疑可能未在域控制器中復(fù)制GPO請使用Resource Kit 工具組策略對象(Gpotool.exe)幫助診斷問題。有關(guān)Gpo

16、tool.exe 的詳細(xì)信息，請參閱“ Microsoft 幫助和支持”()。若要下載 Windows Server2008Resource Kit 工具，請參閱 Microsoft下載中心上的“ Windovs Server 2008 Resource Kit 工具”()(可能為英文網(wǎng)頁)。如果出現(xiàn)慢速鏈接問題(通常是到遠(yuǎn)程站點的客戶端的鏈接)，問題可能出在域控制器位置上。如 果客戶端和驗證域控制器之間的網(wǎng)絡(luò)鏈接速度低于默認(rèn)慢速鏈接閾值500千比特/秒，則僅默認(rèn)應(yīng)用管理模板(基于注冊表)設(shè)置、新無線策略擴(kuò)展和安全設(shè)置。不會默認(rèn)應(yīng)用所有其他組策略設(shè)置。 不過，您可以使用組策略修改此行為?？梢允?/p>

17、用組策略慢速鏈接檢測策略， 為GPO中的用戶和計算機(jī)內(nèi)容更改慢速鏈接閾值。 如有必要， 您還可以調(diào)整在慢速鏈接閾值以下處理的組策略擴(kuò)展。 甚至可以根據(jù)需要，將本地域控制器放在遠(yuǎn) 程位置以滿足您的管理需要。符合服務(wù)級別協(xié)議某些IT組使用服務(wù)級別協(xié)議來指定應(yīng)運(yùn)行的服務(wù)。例如，服務(wù)級別協(xié)議可能規(guī)定了計算機(jī)啟動和 登錄所需的最長時間、在用戶登錄多長時間后才能使用計算機(jī)，等等。服務(wù)級別協(xié)議通常會設(shè)置服 務(wù)響應(yīng)標(biāo)準(zhǔn)。例如，服務(wù)級別協(xié)議可能定義了允許用戶接收新軟件應(yīng)用程序或訪問以前禁用的功能 的時間長度?？赡軙绊懛?wù)響應(yīng)的問題有：站點和復(fù)制拓?fù)洹⒂蚩刂破魑恢靡约敖M策略管理員位若要縮短處理GPO所需的時間，

18、請考慮使用下面的某種策略：如果GPO僅包含計算機(jī)配置或用戶配置設(shè)置，請禁用不適用的策略設(shè)置部分。在執(zhí)行此操 作后，目標(biāo)計算機(jī)不會掃描禁用的 GPO部分，從而縮短了處理時間。有關(guān)禁用 GPO的某些 部分的信息，請參閱本指南后面的 禁用GPO中的用戶配置或計算機(jī)配置設(shè)置。如果可能，請將一些較小的GPO合并為一個GPO這可減少應(yīng)用于用戶或計算機(jī)的 GPO數(shù) 量。通過將較少的GPO應(yīng)用于用戶或計算機(jī)，可以縮短啟動或登錄時間，并且可以更輕松 地解決策略結(jié)構(gòu)冋題。*對GPO所做的更改將復(fù)制到域控制器中，并導(dǎo)致將新的內(nèi)容下載到客戶端或目標(biāo)計算機(jī)上。 如果需要經(jīng)常更改很大或很復(fù)雜的 GPQ請考慮創(chuàng)建一個新GP

19、Q其中僅包含定期更新的部 分。請測試這種方法以確定最大限度減少對網(wǎng)絡(luò)的影響和縮短目標(biāo)計算機(jī)的處理時間能帶來 多大好處，而使GPO結(jié)構(gòu)變得更復(fù)雜而容易出現(xiàn)故障的可能性有多大，是否利大于弊。*您應(yīng)該實現(xiàn)組策略更改控制過程，并記錄對 GPO所做的任何更改。這可能有助于解決和糾 正出現(xiàn)的GPO問題。這種做還有助于滿足要求保留日志的服務(wù)級別協(xié)議的要求。請考慮使 用AGP M來實現(xiàn)GPO更改控制過程和管理 GPO定義組策略目標(biāo)在規(guī)劃組策略部署時，請確定具體的業(yè)務(wù)要求以及組策略如何幫助實現(xiàn)這些要求。然后，您可以確 定最適合的策略設(shè)置和配置選項以滿足您的要求。每個組策略實現(xiàn)的目標(biāo)因用戶位置、工作需要、計算機(jī)體

20、驗和企業(yè)安全要求而異。在某些情況下， 您可能會從用戶的計算機(jī)中刪除一些功能以防止其修改系統(tǒng)配置文件（這可能會中斷計算機(jī)運(yùn)行），或者刪除并非用戶工作時必不可少的應(yīng)用程序。在其他情況下，您可能會使用組策略配置操作系統(tǒng) 選項、指定In ternet Explorer設(shè)置或制訂安全策略。清楚地了解當(dāng)前的組織環(huán)境和要求有助于設(shè)計出最符合組織需要的計劃。應(yīng)收集有關(guān)用戶類型（操作工人和數(shù)據(jù)輸入員）以及現(xiàn)有和計劃的計算機(jī)配置的的信息，這一點至關(guān)重要。您可以根據(jù)這些 信息來定義組策略目標(biāo)。評估現(xiàn)有的企業(yè)行為準(zhǔn)則為幫助您確定要使用的適合組策略設(shè)置，請先評估企業(yè)環(huán)境中的當(dāng)前行為準(zhǔn)則，其中包括如下因素：*各種類型的用

21、戶的用戶要求。當(dāng)前IT角色，如劃分到不同管理員組的各種管理任務(wù)。*現(xiàn)有的企業(yè)安全策略。服務(wù)器和客戶端計算機(jī)的其他安全要求。軟件分發(fā)模型。*網(wǎng)絡(luò)配置。數(shù)據(jù)存儲位置和步驟。*當(dāng)前的用戶和計算機(jī)管理。定義組策略目標(biāo)接下來，請確定以下內(nèi)容（作為定義組策略目標(biāo)的一部分）：*每個GPO的用途。*每個GPO的所有者一請求策略設(shè)置并負(fù)責(zé)進(jìn)行維護(hù)的人*要使用的GPO數(shù)量要鏈接每個GPO的相應(yīng)容器（站點、域或 0U）。每個GPO中包含的策略設(shè)置類型以及用戶和計算機(jī)的相應(yīng)策略設(shè)置。.何時設(shè)置組策略默認(rèn)處理順序的例外情況。.何時設(shè)置組策略的篩選選項。*要安裝的軟件應(yīng)用程序及其位置。用于重定向文件夾的網(wǎng)絡(luò)共享。要運(yùn)行的

22、登錄、注銷、啟動和關(guān)機(jī)腳本的位置規(guī)劃持續(xù)的組策略管理在設(shè)計和實現(xiàn)組策略解決方案時，規(guī)劃持續(xù)的組策略管理也是非常重要的。通過確定管理步驟以跟 蹤和管理GPO可以確保按預(yù)定方式實現(xiàn)所有更改。若要簡化和控制持續(xù)的組策略管理，我們建議您：始終使用以下預(yù)部署過程暫存組策略部署：o使用組策略建模了解新 GPO如何與現(xiàn)有GPO進(jìn)行交互。o在模擬生產(chǎn)環(huán)境的測試環(huán)境中部署新 GPQo使用組策略結(jié)果了解在測試環(huán)境中實際應(yīng)用的 GPO設(shè)置。*使用GPMC定期備份GPQ*使用GPMC在組織中管理組策略。*除非必要，否則不要修改默認(rèn)域策略或默認(rèn)域控制器策略。 相反，應(yīng)在域級別創(chuàng)建新的GPQ 并對其進(jìn)行設(shè)置以覆蓋默認(rèn)策略

23、設(shè)置。*為GPO定義有意義的命名約定，以清楚地說明每個 GPO的用途。*僅為每個GPO委派一個管理員。這可防止一個管理員的工作被另一個管理員的工作所覆蓋。在Win dows Server 2008和GPMC中，您可以將編輯和鏈接 GPO的權(quán)限委派給不同的管理員組。 如果未確定適合的GPO控制步驟，委派的管理員可能具有重復(fù)的 GPO設(shè)置，或者創(chuàng)建的GPO與 另一個管理員設(shè)置的策略設(shè)置發(fā)生沖突或不符合企業(yè)標(biāo)準(zhǔn)。這些沖突可能會對用戶的桌面環(huán)境產(chǎn)生不利影響，增加撥打的支持電話次數(shù)并且更難解決GPO問題。確定互操作性問題 在混合環(huán)境中規(guī)劃組策略實現(xiàn)時，您需要考慮可能出現(xiàn)的互操作性問題。Win dowsS

24、erver 2008和 Windows Vista 包含很多新組策略設(shè)置， Windows Server 2003或 Windows XP中不使用這些設(shè) 置。不過，即使組織中的客戶端和服務(wù)器計算機(jī)主要運(yùn)行的是 Win dows Server 2003或Windows XP,您也應(yīng)該使用 Windows Server 2008中包含的GPMC因為它包含最新的策略設(shè)置。 如果將包含較新策略設(shè)置的 GPO應(yīng)用于不支持該策略設(shè)置的以前操作系統(tǒng)，并不會出現(xiàn)問題。運(yùn)行 Windows Server 2003或 Windows XP Professional 的目標(biāo)計算機(jī)直接忽略僅在 WindowsServ

25、er 2008或Win dows Vista中支持的策略設(shè)置。若要確定將哪些策略設(shè)置應(yīng)用于哪些操作系 統(tǒng)，請在策略設(shè)置說明中查看 “支持的平臺”信息，它說明了哪些操作系統(tǒng)可以讀取該策略設(shè)置。確定何時應(yīng)用組策略更改由于對GPO的更改必須先復(fù)制到相應(yīng)的域控制器中，因此可能不會在用戶桌面上立即應(yīng)用對組策略設(shè)置的更改。此外，客戶端使用90分鐘刷新周期（隨機(jī)偏差最多約為30分鐘）來檢索組策略。 因此，很少會立即應(yīng)用更改的組策略設(shè)置。GPO組件存儲在Active Directory和域控制器的Sysvol文件夾中。將GPO復(fù)制到其他域控制器是由兩個獨立機(jī)制完成的：* Active Directory 中的

26、復(fù)制是由Active Directory的內(nèi)置復(fù)制系統(tǒng)控制的。默認(rèn)情況下，在同一站點的域控制器之間復(fù)制時，通常需要不到一分鐘的時間。如果您的網(wǎng)絡(luò)速度比LAN慢，此過程可能會較慢。 Sysvol文件夾復(fù)制是由文件復(fù)制服務(wù)（FRS）或分布式文件系統(tǒng)復(fù)制（DFSR）控制的。在站 點中，每15分鐘進(jìn)行一次FRS復(fù)制。如果域控制器位于不同的站點中，則會按設(shè)置的間隔根據(jù)站點拓?fù)浜蛷?fù)制計劃執(zhí)行復(fù)制過程；最低間隔為 15分鐘。-備注如果務(wù)必為特定站點中的特定用戶或計算機(jī)組立即應(yīng)用更改，您可以連接到與這些對象最接近的域控制器，然后在該域控制器上進(jìn)行配置更改，以使這些用戶最先獲得更新的策略設(shè)置。策略刷新間隔刷新組

27、策略的主要機(jī)制是啟動和登錄。還會定期按其他間隔刷新組策略。策略刷新間隔影響應(yīng)用GPO更改的速度。默認(rèn)情況下，運(yùn)行 Windows Server 2008、WindowsVista、WindowsServer 2003 和Windows XP的客戶端和服務(wù)器每90分鐘檢查一次GPO更改，隨機(jī)偏差最多為30分鐘。運(yùn)行 Windows Server 2008或 Windows Server 2003的域控制器將每5分鐘檢查一次計算機(jī) 策略更改?？梢允褂靡韵履撤N策略設(shè)置更改該輪詢頻率：“計算機(jī)的組策略刷新間隔”、“域控制器組的組策略刷新間隔” 或“用戶的組策略刷新間隔”。不過，建議不要縮短刷新間隔時間

28、，因為 這可能會增加網(wǎng)絡(luò)通信量并在域控制器上產(chǎn)生額外的負(fù)載。觸發(fā)組策略刷新如有必要，您可以從本地計算機(jī)中手動觸發(fā)組策略刷新，而無需等待執(zhí)行自動后臺刷新。為此，您 可以在命令行中鍵入gpupdate以刷新用戶或計算機(jī)策略設(shè)置。無法使用GPMC觸發(fā)組策略刷新。gpupdate將在運(yùn)行該命令的本地計算機(jī)上觸發(fā)后臺策略刷新。有關(guān)gpupdate命令的詳細(xì)信息，請參閱本指南后面的 更改組策略刷新間隔。一備注某些策略設(shè)置（如文件夾重定向和軟件應(yīng)用程序分配）要求用戶注銷并重新登錄，然后這些設(shè)置才 會生效。只有在重新啟動計算機(jī)后，才會安裝分配給計算機(jī)的軟件應(yīng)用程序。確定與軟件安裝有關(guān)的問題雖然可以使用組策略安

29、裝軟件應(yīng)用程序（尤其是小型或中型組織），但您需要確定它是否為最符合 組織需要的解決方案。在使用組策略安裝軟件應(yīng)用程序時，只有在重新啟動計算機(jī)或用戶登錄后， 才會安裝或更新分配的應(yīng)用程序。使用 System Center Configuration Manager 2007 （以前稱為 Systems ManagementServer （SMS） 部署軟件可提供基于組策略的軟件部署中沒有的企業(yè)級功能，例如，基于清單確定目標(biāo)、狀態(tài)報告 和計劃。因此，您可以使用組策略配置桌面和設(shè)置系統(tǒng)安全和訪問權(quán)限，但使用Con figurati onMan ager傳送軟件應(yīng)用程序。這種方法允許將應(yīng)用程序安裝安排

30、在非核心工作時間進(jìn)行，從而提供了帶寬控制。具體選擇哪些工具取決于您的要求、您的環(huán)境以及是否需要使用Con figurati on Ma nager 提供的附加功能和安全性。有關(guān) Con figuration Ma nager的信息，請參閱 System Cen ter Co nfiguratio n Manager （ ）（可能為英文網(wǎng)頁）。設(shè)計組策略模型您的主要目標(biāo)是，根據(jù)業(yè)務(wù)要求設(shè)計 GPO結(jié)構(gòu)。應(yīng)牢記組織中的計算機(jī)和用戶，并確定必須在組 織中強(qiáng)制實施的策略設(shè)置以及適用于所有用戶或計算機(jī)的策略設(shè)置。還要根據(jù)類型、功能或工作角色確定用于配置計算機(jī)或用戶的策略設(shè)置。然后，將這些不同類型的策略設(shè)

31、置劃分到GPO中，并將其鏈接到相應(yīng)的 Active Directory 容器。還要牢記組策略繼承模型以及確定優(yōu)先級的方式。默認(rèn)情況下，較低級別的所有0U將繼承鏈接到較高級別Active Directory 站點、域和OU的GPO中設(shè)置的選項。不過，在較低級別鏈接的GPO 可能會覆蓋繼承的策略。例如，您可能會使用在較高級別鏈接的GPO來分配標(biāo)準(zhǔn)桌面墻紙，但希望使用某種 OU獲取不同的墻紙。為此，您可以將第二個 GPO鏈接到該特定較低級別 OU。由于較低級別GPO是最后應(yīng)用 的，因此，第二個GPO將覆蓋域級GPO并為該特定較低級別 OU提供一組不同的組策略設(shè)置。 不過，您可以使用“阻止繼承”和“強(qiáng)

32、制”修改這種默認(rèn)繼承行為。以下準(zhǔn)則可幫助定制組策略設(shè)計以滿足組織的需要：確定是否必須為特定的用戶或計算機(jī)組強(qiáng)制實施任何策略設(shè)置。請創(chuàng)建包含這些策略設(shè)置的GPO將其鏈接到相應(yīng)的站點、域或0U,然后將這些鏈接指定為“強(qiáng)制”。通過設(shè)置該選項， 您可以強(qiáng)制實施較高級別 GPO的策略設(shè)置，以防止較低級別 Active Directory容器中的GPO覆蓋這些設(shè)置。例如，如果在域級別定義一個特定的GPO并指定強(qiáng)制實施該GPO該GPO包含的策略將應(yīng)用于該域下面的所有 OU;鏈接到較低級別OU的GPO無法覆蓋該域組 策略。-備注應(yīng)慎用“強(qiáng)制”和“阻止策略繼承”功能。 如果經(jīng)常使用這些功能，可能會導(dǎo)致很難解決策

33、略問題， 因為其他GPO的管理員不容易弄清楚為什么應(yīng)用了或未應(yīng)用某些策略設(shè)置。確定哪些策略設(shè)置適用于整個組織，并考慮將這些設(shè)置鏈接到域上。還可以使用 GPMC復(fù)制 GPO或?qū)隚PO策略設(shè)置，從而在不同的域中創(chuàng)建相同的 GPO*將GPO鏈接到OU結(jié)構(gòu)（或站點），然后使用安全組有選擇地將這些GPO應(yīng)用于特定用戶或計算機(jī)。對組織中的計算機(jī)類型和用戶的角色或工作職能進(jìn)行分類，將它們劃分到OU中，創(chuàng)建GPO以便根據(jù)需要為每個OU配置環(huán)境，然后將GPO鏈接到這些OU。準(zhǔn)備暫存環(huán)境以測試基于組策略的管理策略，然后再將GPO部署到生產(chǎn)環(huán)境中。應(yīng)將此階段視為暫存您的部署。這是一個關(guān)鍵步驟，有助于確保組策略部署

34、滿足您的管理目標(biāo)的要求。 本指南后面的暫存組策略部署中介紹了該過程。定義組策略的應(yīng)用范圍若要定義GPO的應(yīng)用范圍，請考慮以下問題：*要將GPO鏈接到什么地方？將使用GPO上的哪種安全篩選？通過使用安全篩選，您可以優(yōu)化哪些用戶和計算機(jī)將接收并應(yīng)用GPO中的策略設(shè)置。安全組篩選可以確定是將GPO統(tǒng)一應(yīng)用于組、應(yīng)用于用戶還是應(yīng)用于計算機(jī)；無法有選擇地對 GPO中的不同策略設(shè)置使用安全組篩選。將應(yīng)用哪些WMI篩選器？通過使用WMI篩選器，您可以根據(jù)目標(biāo)計算機(jī)的屬性動態(tài)確定GPO作用域。還要記住將默認(rèn)繼承 GPQ GPO是累積性的，它影響Active Directory 容器及其子容器中的所有 計算機(jī)和

35、用戶。其處理順序如下所示：本地組策略、站點、域和 OU,最后處理的GPO將覆蓋先前 的GPQ默認(rèn)繼承方法是，評估從離計算機(jī)或用戶對象最遠(yuǎn)的 Active Directory 容器開始的組策 略。離計算機(jī)或用戶最近的 Active Directory 容器將覆蓋較高級別Active Directory 容器中設(shè) 置的組策略，除非為該 GPO鏈接設(shè)置了 “強(qiáng)制（禁止替代）”選項，或者已將“阻止策略繼承”策略設(shè)置應(yīng)用于域或 0U。將先處理LGPQ因此，鏈接到Active Directory 容器的GPO中的策 略設(shè)置將覆蓋本地策略設(shè)置。另一個冋題是，雖然可以將多個 GPO鏈接到一個Active Di

36、rectory容器上，但需要注意處理優(yōu)先級。默認(rèn)情況下，優(yōu)先處理“組策略對象鏈接”列表（顯示在GPMC的“鏈接的組策略對象” 選 項卡中）中鏈接順序最低的 GPO鏈接。不過，如果一個或多個 GPO鏈接設(shè)置了 “強(qiáng)制”選項，則 設(shè)置為“強(qiáng)制”的最高GPO鏈接優(yōu)先。簡單地說，“強(qiáng)制”是一個鏈接屬性，“阻止策略繼承”是一個容器屬性?！皬?qiáng)制”優(yōu)先于“阻止 策略繼承”。此外，還可以使用四種其他方式禁用 GPO本身的策略設(shè)置：可以禁用 GPO GPO可 以禁用其計算機(jī)設(shè)置，禁用其用戶設(shè)置或禁用其所有設(shè)置。GPMC大大簡化了這些任務(wù)，您可以通過它查看組織中的 鏈接。圖2說明了 GPMC中顯示的組策略繼承。星

37、組策略管理GPO繼承，并從某個MMC控制臺中管理B務(wù)域二老cuktoso. com訐Default Doma.in Poli cyif Shell限制策略,電源管理策略J后臺信息策略 詢禁用服務(wù)器管理器啟動,f可移動設(shè)備策略 f屏幕保護(hù)程序第略 f文件夾重定向策略二 Domain Controllers- GP管理員總瞰戶S -財勞Fl Jj生產(chǎn)-.市場營梢“ f市場營誚Sksll限制 曰逮,消害登錄腳本梢售-總部- 一資源組E 3組策略對象尸 Default Domain Controllers Policy Default Domiain Policy習(xí)Shll限制策略S1kF1銷售無接的

38、組策略對象組策略繼祇|委派|此列耒不包括任何銷接到站點的GPOe有關(guān)更多詳細(xì)信息，請單擊“幫威/優(yōu)先 GFOGF0狀態(tài)諧售登錄腳*梢售市場營諸Shell限制市場營謂Default Domtain Poli cyconi Oso. com后臺信息策略contoso, com文件夾里定向策略coniqso com電源管理策略contoso. coir可移動設(shè)備策略contoso. corn葉用腮務(wù)器管理器啟動eontoso. eom屏幕保護(hù)程序策略eorLtoso. eomShell限制策略caiitoso. com12345678g10If* 一l - - LL - 3J- AMrlL - 冃冃

39、 itt rrr rrr rrr 冃冃冃 啟啟啟啟啟啟啟啟啟啟 已已已已已已已已已已空 文件T）操作 查看CV）裔口 Or）幫助00一備注若要查看到域、站點或OU的GPO鏈接的繼承和優(yōu)先級的完整詳細(xì)信息， 您必須具有包含GPO鏈 接的站點、域或OU以及GPO的讀取權(quán)限。如果您具有站點、域或 OU的讀取訪問權(quán)限，但沒有 鏈接到此處的某個GPO的讀取訪問權(quán)限，該GPO將顯示為“不可訪問的GPO，您無法讀取該 GPO的名稱或其他信息。確定所需的GPO數(shù)量所需的GPO數(shù)量取決于設(shè)計方法、環(huán)境復(fù)雜性、目標(biāo)以及項目范圍。如果某個林中包含多個域或 者有多個林，您可能會發(fā)現(xiàn)每個域中所需的 GPO數(shù)量是不同的。

40、與較小且比較簡單的域相比，支 持非常復(fù)雜的業(yè)務(wù)環(huán)境的域（具有不同的用戶數(shù)量）通常需要更多的GPO隨著支持組織所需的GPO數(shù)量的增加，組策略管理員的工作量也會有所增加?？梢圆扇∫恍┐胧?來簡化組策略管理。通常，如果某些策略設(shè)置應(yīng)用于一組給定的用戶或計算機(jī)，并由一組常用的管 理員進(jìn)行管理，則應(yīng)將其劃分到單個 GPO中。再者，如果不同的用戶或計算機(jī)組具有相同要求， 并且只有幾個組需要進(jìn)行增量更改，請考慮使用鏈接到Active Directory 結(jié)構(gòu)中的較高級別的單個GPO將這些相同要求應(yīng)用于所有這些用戶或計算機(jī)組中。然后，再添加幾個額外的GPQ以便僅在相關(guān)OU中應(yīng)用增量更改。可能并非始終能夠使用這

41、種方法，這種方法也并非始終有效，因此， 您可能需要指定該準(zhǔn)則的例外情況。如果是這種情況，請確保對其進(jìn)行跟蹤。一備注最多支持使用999個GPO來處理任一用戶或計算機(jī)上的 GPQ如果超過最大數(shù)，將無法再處理 GPO此限制僅影響相同應(yīng)用的 GPO數(shù)量；它不影響可以在域中創(chuàng)建和存儲的 GPO數(shù)量。應(yīng)考慮到應(yīng)用于計算機(jī)的 GPO數(shù)量會影響啟動時間，應(yīng)用于用戶的GPO數(shù)量會影響登錄到網(wǎng)絡(luò)上 所需的時間。鏈接到用戶的 GPO數(shù)量越大（尤其是這些GPO中的策略設(shè)置數(shù)量越大），用戶登錄 時處理這些GPO所需的時間就越長。在登錄過程中，只要為用戶設(shè)置了 “讀取”和“應(yīng)用組策略” 權(quán)限，就會應(yīng)用用戶站點、域和 OU

42、層次結(jié)構(gòu)中的每個GPO在GPMC中，“讀取”和“應(yīng)用組策 略”權(quán)限是作為一個單位（稱為安全篩選）進(jìn)行管理的如果使用安全篩選并刪除給定用戶或組的“應(yīng)用組策略”權(quán)限， 則還會刪除讀取權(quán)限，除非由于某 些原因要求該用戶具有讀取訪問權(quán)限。（如果使用的是GPMC則不必?fù)?dān)心這種情況，因為GPMC自 動執(zhí)行此操作。）如果未設(shè)置“應(yīng)用組策略”權(quán)限，但設(shè)置了“讀取”權(quán)限， GPO鏈接到的OU層 次結(jié)構(gòu)中的任何用戶或計算機(jī)仍會檢查（但不應(yīng)用） GPO這種檢查過程略微增加登錄時間。始終在測試環(huán)境中測試組策略解決方案，以確保所定義的策略設(shè)置不會過度延長顯示登錄屏幕所需 的時間，并且這些設(shè)置符合桌面服務(wù)級別協(xié)議。在該暫

43、存階段，使用測試帳戶登錄以測定幾個GPO對環(huán)境中的對象的實際影響。鏈接GPO若要將GPO的策略設(shè)置應(yīng)用于用戶和計算機(jī)，您需要將GPO鏈接到站點、域或OU。可以使用GPMC 添加一個或多個到每個站點、域或 OU的GPO鏈接。請記住，創(chuàng)建和鏈接 GPO是一個敏感權(quán)限， 只應(yīng)將該權(quán)限委派給值得信任且了解組策略的管理員。將GPO鏈接到站點如果將一些策略設(shè)置（如某些網(wǎng)絡(luò)或代理配置設(shè)置）應(yīng)用于特定物理位置中的計算機(jī)，則可能只有 這些策略設(shè)置適于添加到基于站點的策略設(shè)置中。由于站點和域是獨立的，因此，站點中的計算機(jī) 可能需要跨域?qū)PO鏈接到站點上。在這種情況下，請確保連接狀況良好。如果策略設(shè)置并不明確對應(yīng)

44、于單個站點中的計算機(jī)，則最好將GPO分配給域或OU結(jié)構(gòu)，而不是分配給站點。將GPO鏈接到域如果要將GPO應(yīng)用于域中的所有用戶和計算機(jī)，請將 GPO鏈接到該域上。例如，安全管理員通常 實現(xiàn)基于域的GPO以強(qiáng)制實施企業(yè)標(biāo)準(zhǔn)。他們可能需要這些 GPO并啟用GPMC“強(qiáng)制”選項，以 確保其他管理員無法覆蓋這些策略設(shè)置。$重要事項如果需要修改默認(rèn)域策略 GPO中包含的策略設(shè)置，我們建議您創(chuàng)建新的GPO實現(xiàn)此目的，將其鏈 接到域上，然后設(shè)置“強(qiáng)制”選項。通常，不要修改默認(rèn)域策略 GPO或默認(rèn)域控制器策略GPQ顧名思義，默認(rèn)域策略GPO也會鏈接到域上。默認(rèn)域策略GPO是在安裝域中的第一個域控制器以 及管理員

45、第一次登錄時創(chuàng)建的。該 GPO包含域范圍的帳戶策略設(shè)置、密碼策略、帳戶鎖定策略以 及Kerberos策略，它是由域中的域控制器強(qiáng)制實施的。所有域控制器從默認(rèn)域策略GPO中檢索這些帳戶策略設(shè)置的值。要將帳戶策略應(yīng)用于域帳戶，必須在鏈接到域的GPO中部署這些策略設(shè)置。如果在較低級別（如 OU）設(shè)置帳戶策略設(shè)置，這些策略設(shè)置僅影響該 OU和子OU中的計算 機(jī)上的本地帳戶（非域帳戶）。在對默認(rèn)GPO進(jìn)行任何更改之前，請確保使用 GPMC備份GPO如果默認(rèn)GPO更改出現(xiàn)問題，并 且無法恢復(fù)到以前或初始狀態(tài)，您可以使用下一節(jié)中介紹的 Dcgpofix.exe 工具重新創(chuàng)建初始狀態(tài) 的默認(rèn)策略。或者，如果使

46、用的是 AGPM將保留所做的任何更改的記錄，因此，您可以恢復(fù)到以 前或初始狀態(tài)。還原默認(rèn)域策略GPO和默認(rèn)域控制器GPODcgpofix.exe 是一個命令行工具，在發(fā)生災(zāi)難而無法使用GPMC時，可以使用該工具將默認(rèn)域策略GPO和默認(rèn)域控制器 GPO完全還原為原始狀態(tài)。 Dcgpofix.exe 是 Windows Server 2008和 Windows Server 2003 附帶提供的，它位于 C:Windowssystem32 文件夾中。Dcgpofix.exe 僅還原生成默認(rèn)GPO時其中包含的策略設(shè)置。Dcgpofix.exe不還原管理員創(chuàng)建的 其他GPQ它僅用于默認(rèn) GPO災(zāi)難恢復(fù)

47、。-備注Dcgpofix.exe 不保存通過應(yīng)用程序(如 Co nfiguratio n Man ager或Excha nge)創(chuàng)建的任何信息。Dcgpofix.exe 語法如下所示：復(fù)制DcGPOFix /ig no reschema /Target: Doma in | DC | BOTH表1說明了在使用Dcgpofix.exe 工具時可以使用的命令行選項。表1 Dcgpofix.exe 命令行選項選項選項說明默認(rèn)情況下，Windows Server 2008附帶提供的Dcgpofix版本僅適用于/igno reschemaWin dows Server 2008域。此選項將繞過架構(gòu)檢杳，

48、以允許其在非Win dowsServer 2008域上工作。/target:DOMAIN 或/target:DC 或/target:BOTH指定應(yīng)重新創(chuàng)建默認(rèn)域策略。指疋應(yīng)重新創(chuàng)建默認(rèn)域控制器策略。指定應(yīng)重新創(chuàng)建默認(rèn)域策略和默認(rèn)域控制器策略。有關(guān)Dcgpofix.exe的詳纟田信息，請參閱 Dcgpofix.exe()(可能為英文網(wǎng)頁)。將GPO鏈接到0U結(jié)構(gòu)GPO通常鏈接到OU結(jié)構(gòu)，因為這可提供最大的靈活性和可管理性。例如：*您可以將用戶和計算機(jī)移入或移出 OU。*如有必要，可以重新排列OU。*您可以使用一些具有相同管理要求的較小用戶組。*您可以根據(jù)管理用戶和計算機(jī)的管理員對其進(jìn)行組織。通過

49、將GPO劃分為面向用戶的GPO和面向計算機(jī)的GPO有助于使組策略環(huán)境更易于理解， 并且 可以簡化故障排除過程。不過，要將用戶和計算機(jī)組件拆分為單獨的GPO您可能需要使用更多的GPO種補(bǔ)救措施是，配置“GPO狀態(tài)”設(shè)置以禁用不應(yīng)用的GPO用戶或計算機(jī)配置部分，并縮 短應(yīng)用給定GPO所需的時間。更改GPO鏈接順序在每個站點、域和0U中，鏈接順序控制應(yīng)用 GPO的順序。若要更改鏈接優(yōu)先級，您可以更改鏈 接順序，即，將列表中的每個鏈接向上或向下移動到相應(yīng)位置。對于給定站點、域或OU,編號最小的鏈接具有最高的優(yōu)先級。例如，如果添加6個GPO鏈接，并隨后決定要為添加的最后一個鏈接指定最高優(yōu)先級，您可以調(diào)

50、整GPO鏈接的鏈接順序，以使該鏈接的鏈接順序為 1。若要更改站點、域或OU的GPO鏈接的鏈 接順序，請使用GPMC使用安全篩選將GPO應(yīng)用于選定的組默認(rèn)情況下，GPO影響鏈接的站點、域或OU中包含的所有用戶和計算機(jī)。不過，您可以在GPO上 使用安全篩選以修改其效果：通過修改 GPO權(quán)限僅將其應(yīng)用于特定用戶、Active Directory 安全 組成員或計算機(jī)。通過將安全篩選和OU中的相應(yīng)位置相結(jié)合，您可以將任何一組給定的用戶或計 算機(jī)作為目標(biāo)。要將GPO應(yīng)用于給定用戶、安全組或計算機(jī)，該用戶、組或計算機(jī)必須具有GPO的“讀取”和“應(yīng) 用組策略”權(quán)限。默認(rèn)情況下，“經(jīng)過身份驗證的用戶”將“讀取

51、”和“應(yīng)用組策略”權(quán)限設(shè)置為“允許”。這兩個權(quán)限是作為一個單位使用 GPMC中的安全篩選進(jìn)行管理的。若要設(shè)置給定GPO的權(quán)限，以便僅將GPO應(yīng)用于特定用戶、安全組或計算機(jī)（而不是應(yīng)用于所有 經(jīng)過身份驗證的用戶），請在 GPMC控制臺樹中包含該GPO的林和域中展開“組策略對象”。單 擊該GPQ然后在細(xì)節(jié)窗格的“作用域”選項卡上的“安全篩選”下面，刪除“經(jīng)過身份驗證的用 戶”，單擊“添加”，然后添加新的用戶、組或計算機(jī)。例如，如果僅希望OU中的一部分用戶接收GPQ請從“安全篩選”中刪除“經(jīng)過身份驗證的用 戶”。然后，添加一個具有安全篩選權(quán)限的新安全組，其中包含要接收GPO的那些用戶。僅位于GPO

52、鏈接到的站點、域或OU中的該組成員能夠接收GPO位于其他站點、域或OU中的組成員不會接 收GPO您可能需要禁止將某些組策略設(shè)置應(yīng)用于 Administrators 組成員。若要完成此操作，您可以執(zhí)行 以下操作之一：，為管理員創(chuàng)建一個單獨的 OU,并將該OU放在應(yīng)用了大多數(shù)管理設(shè)置的層次結(jié)構(gòu)以外。這 樣，管理員就不會接收為管理的用戶提供的大多數(shù)策略設(shè)置。如果該單獨OU是域的直接子域，則管理員只能接收鏈接到域或站點的 GPO中的策略設(shè)置。通常，僅在此處鏈接廣泛適 用的常規(guī)策略設(shè)置，因此，讓管理員接收這些策略設(shè)置是可以接受的。如果不希望管理員接 收這些設(shè)置，您可以在管理員的 OU上設(shè)置“阻止繼承”選

53、項。*僅在執(zhí)行管理任務(wù)時讓管理員使用單獨的管理帳戶。在不執(zhí)行管理任務(wù)時，仍會對管理員進(jìn)行管理。*在GPMC中使用安全篩選，以便只有非管理員能夠接收策略設(shè)置。應(yīng)用WMI篩選器 可以使用 WMI篩選器來控制如何應(yīng)用 GPQ每個GPO可以鏈接到一個 WMI篩選器上；但同一 WMI 篩選器可以鏈接到多個 GPO上。在將WMI篩選器鏈接到GPO之前，您必須先創(chuàng)建該篩選器。在 處理組策略期間，將在目標(biāo)計算機(jī)上評估 WMI篩選器。只有在 WMI篩選器評估結(jié)果為true 時， 才會應(yīng)用GPO在基于 Windows 2000的計算機(jī)上，將忽略 WMI篩選器并始終應(yīng)用 GPO一備注我們建議您將 WMI篩選器主要用

54、于例外情況管理。這些篩選器提供了一個強(qiáng)大的解決方案，以便 將GPO應(yīng)用于特定用戶和計算機(jī)，但由于每次處理組策略時都會評估 WMI篩選器，這會增加啟動 和登錄時間。另外，WMI篩選器沒有超時。因此，只有在必要時才能使用這些篩選器。通過使用GPMC您可以為WMI篩選器執(zhí)行下列操作：創(chuàng)建和刪除、鏈接和取消鏈接、復(fù)制和粘貼、 導(dǎo)入和導(dǎo)出以及查看和編輯屬性。只有在域中至少有一個域控制器運(yùn)行的是 Windows Server 2008或 Windows Server 2003,或 者在該域中使用/Doma in prep選項運(yùn)行了 ADPrep時，才能使用 WMI篩選器。否則，GPO的“作 用域”選項卡上

55、的“WMI篩選”部分以及該域下面的“WMI篩選器”節(jié)點不存在。請參閱圖3以 幫助您確定本節(jié)中介紹的內(nèi)容。設(shè)置WMI篩選選項WMI將顯示目標(biāo)計算機(jī)中的管理數(shù)據(jù)。該數(shù)據(jù)可能包括硬件和軟件清單、設(shè)置以及配置信息，其中 包括注冊表、驅(qū)動程序、文件系統(tǒng)、Active Directory、SNMP Windows安裝程序以及網(wǎng)絡(luò)中的數(shù)據(jù)。管理員可以創(chuàng)建 WMI篩選器以控制是否應(yīng)用 GPO這些篩選器包含一個或多個基于此數(shù)據(jù)的 查詢。將在目標(biāo)計算機(jī)上評估篩選器。如果 WMI篩選器評估結(jié)果為true，則會將GPO應(yīng)用于該 目標(biāo)計算機(jī)；如果篩選器評估結(jié)果為 false，則不會應(yīng)用GPO在基于 Windows 20

56、00的客戶端 或服務(wù)器目標(biāo)上，將忽略 WMI篩選器并始終應(yīng)用GPO如果沒有任何 WMI篩選器，則始終應(yīng)用 GPO可以使用WMI篩選器，根據(jù)各種對象和其他參數(shù)來確定組策略設(shè)置的目標(biāo)。表2說明了可以為WMI篩選器指定的示例查詢條件。表2示例WMI篩選器查詢的WMI數(shù)據(jù)示例查詢條件服務(wù)注冊表運(yùn)行DHCP服務(wù)的計算機(jī) 填充了指定注冊表項的計算機(jī)Windows事件日志 最后五分鐘報告審核事件的計算機(jī)操作系統(tǒng)版本 硬件清單 硬件配置 服務(wù)關(guān)聯(lián)運(yùn)行 Win dows Server 2003和更咼版本的計算機(jī) 具有Pen tium III處理器的計算機(jī)在級別3啟用網(wǎng)絡(luò)適配器的計算機(jī)具有任何依賴于SQL服務(wù)的服務(wù)的計算機(jī)WMI篩選器包含一個或多個 WMI查詢語言（WQL）查詢。WMI篩選器