計(jì)算機(jī)活動(dòng)目錄和組策略

肖正強(qiáng)2009年05月12日活動(dòng)目錄和組策略活動(dòng)目錄是Windows網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割的部分。它在WindowsNT4.0操作系統(tǒng)的域結(jié)構(gòu)基礎(chǔ)上改進(jìn)而成，并提供了一套為分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)?；顒?dòng)目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問。同等重要的是，活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點(diǎn)?？偟膩碚f，活動(dòng)目錄的這些功能使組織機(jī)構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng)用和網(wǎng)絡(luò)資源當(dāng)中，同時(shí)，無需管理員來維護(hù)各種不同的專用目錄?；顒?dòng)目錄提供了對(duì)基于Windows的用戶賬號(hào)、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點(diǎn)。同時(shí)，它也幫助組織機(jī)構(gòu)通過使用基于Windows的應(yīng)用程序和與Windows相兼容的設(shè)備對(duì)非Windows系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到Internet上?；顒?dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用。

活動(dòng)目錄-什么是活動(dòng)目錄活動(dòng)目錄允許組織機(jī)構(gòu)按照層次式的、面向?qū)ο蟮姆绞酱鎯?chǔ)信息，并且提供支持分布式網(wǎng)絡(luò)環(huán)境的多主復(fù)制機(jī)制。層次式組織活動(dòng)目錄使用對(duì)象來代表諸如用戶、組、主機(jī)、設(shè)備及應(yīng)用程序這樣的網(wǎng)絡(luò)資源。它使用容器來代表組織（如市場(chǎng)部）或相關(guān)對(duì)象的集合（如打印機(jī)）。它將信息組織為由這些對(duì)象和容器組成的樹結(jié)構(gòu)，這與Windows操作系統(tǒng)用目錄和文件來組織一臺(tái)計(jì)算機(jī)上信息的方法非常類似。圖1：活動(dòng)目錄使用層次化方式組織信息以簡(jiǎn)化網(wǎng)絡(luò)的使用和管理此外，活動(dòng)目錄通過提供單一、集中、全面的視圖來管理對(duì)象集合和容器集合間的聯(lián)系。這使得資源在一個(gè)高度分布式的網(wǎng)絡(luò)中更容易被定位、管理和使用?；顒?dòng)目錄的層次式結(jié)構(gòu)具有靈活性并且可以進(jìn)行配置，因此，組織機(jī)構(gòu)能夠按照一種優(yōu)化自身可用性和管理能力的方法對(duì)資源進(jìn)行組織。在圖1中，容器用來代表用戶、主機(jī)、設(shè)備和應(yīng)用程序的集合。容器可以被嵌套（在一個(gè)容器中創(chuàng)建另一個(gè)容器），從而精確反映公司內(nèi)部的組織結(jié)構(gòu)。在這個(gè)例子中，市場(chǎng)和人力資源組織容器代表它們各自的部門以及它們?cè)诠緝?nèi)部的相互聯(lián)系。將對(duì)象組織在目錄中允許管理員在一個(gè)宏觀層次上（作為集合）管理對(duì)象而非采取一對(duì)一的方式。這種方式在允許組織機(jī)構(gòu)根據(jù)其自身商務(wù)運(yùn)作來安排網(wǎng)絡(luò)管理的同時(shí)，更增加了管理的效率和準(zhǔn)確性?；顒?dòng)目錄-活動(dòng)目錄如何工作活動(dòng)目錄允許組織機(jī)構(gòu)按照層次式的、面向?qū)ο蟮姆绞酱鎯?chǔ)信息，并且提供支持分布式網(wǎng)絡(luò)環(huán)境的多主復(fù)制機(jī)制。面向?qū)ο蟮拇鎯?chǔ)如前所述，活動(dòng)目錄用對(duì)象的形式存儲(chǔ)有關(guān)網(wǎng)絡(luò)元素的信息。這些對(duì)象可以被設(shè)置屬性來描述對(duì)象的特征。這種方式允許公司在目錄中存儲(chǔ)各種各樣的信息并且密切控制對(duì)信息的訪問。圖2：活動(dòng)目錄的對(duì)象和屬性被訪問控制列表所保護(hù)如圖2所示，對(duì)象和屬性級(jí)安全性允許管理員精確控制對(duì)存儲(chǔ)在目錄中的信息訪問。例如，一個(gè)為BobJones創(chuàng)建的存儲(chǔ)在目錄中的用戶對(duì)象擁有用于記錄Bob的姓名、電子郵件地址、電話號(hào)碼和社會(huì)保險(xiǎn)號(hào)碼的屬性?；顒?dòng)目錄允許管理員為對(duì)象的每一個(gè)屬性和對(duì)象自身分配訪問權(quán)限。在這個(gè)例子中，系統(tǒng)管理員允許對(duì)BobJones對(duì)象進(jìn)行全局訪問，卻封閉了對(duì)其社會(huì)保險(xiǎn)號(hào)碼的訪問?；顒?dòng)目錄-活動(dòng)目錄如何工作活動(dòng)目錄允許組織機(jī)構(gòu)按照層次式的、面向?qū)ο蟮姆绞酱鎯?chǔ)信息，并且提供支持分布式網(wǎng)絡(luò)環(huán)境的多主復(fù)制機(jī)制。多主復(fù)制為了在分布式環(huán)境中提供高性能、可用性和靈活性，活動(dòng)目錄使用多主復(fù)制。如下圖3所示，這種機(jī)制允許組織機(jī)構(gòu)創(chuàng)建被稱作目錄復(fù)制的多個(gè)目錄拷貝，并把它們放置在網(wǎng)絡(luò)中的各個(gè)位置上。網(wǎng)絡(luò)中任一位置上的變更都將自動(dòng)被復(fù)制到整個(gè)網(wǎng)絡(luò)上（這與單主復(fù)制機(jī)制相反，在單主復(fù)制中，所有變更必須針對(duì)單一的、授權(quán)的目錄復(fù)制）圖3：活動(dòng)目錄通過支持多主復(fù)制實(shí)現(xiàn)靈活性、高可用性和性能例如，完全同步的目錄復(fù)制能夠使活動(dòng)目錄在廣域網(wǎng)（WAN）中的每個(gè)位置上均可使用。因?yàn)橛脩艨梢允褂帽镜啬夸浄?wù)而非在廣域網(wǎng)中漫游來定位資源，該過程能夠向用戶提供更高速的網(wǎng)絡(luò)性能。根據(jù)可用的管理資源情況，這些相同的目錄可在本地或遠(yuǎn)程進(jìn)行管理?；顒?dòng)目錄-活動(dòng)目錄如何工作DC：DomainController（域控制器）域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。GC：GlobalCatalog全局編錄服務(wù)器(GC)是有著特殊含義的域控制器。通過GC，可以提高在活動(dòng)目錄中搜索對(duì)象的速度，可以加快用戶登錄驗(yàn)證等。dsqueryserver-domain-isgc簡(jiǎn)單的說，GC是森林中所有對(duì)象的只讀調(diào)整緩沖存儲(chǔ)器(ReadOnlyCache),目錄只用于搜索。Site：站點(diǎn),是指在物理上有較好的線路連接的能實(shí)現(xiàn)較快通訊速率的計(jì)算機(jī)的集合，一般是指一個(gè)LAN。而Site之間一般是通過慢速連接來實(shí)現(xiàn)信息通訊?？梢奡ite是對(duì)網(wǎng)絡(luò)上計(jì)算機(jī)的實(shí)際的物理分布的一種客觀反映。站點(diǎn)劃分的依據(jù)是子網(wǎng)Subnet。OU：OU(OrganizationalUnit，組織單位)是可以將用戶、組、計(jì)算機(jī)和其它組織單位放入其中的AD容器，是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單元。DNS：域名解析系統(tǒng)賬號(hào)(Account)：計(jì)算機(jī)賬號(hào)域賬號(hào)組賬號(hào)(通訊組、安全組)活動(dòng)目錄-活動(dòng)目錄元素什么是AGDLP?A：UserAccount(用戶賬號(hào))

G：GlobalGroup(全局安全組)

DL：DomainLocalGroup(域本地組)

P:Permission(賦權(quán)限)從操作上解釋為：賦權(quán)限時(shí)，將用戶加入到全局組，然后將全局組加入到域本地組，最后對(duì)域本地組賦權(quán)限。含義為：1.當(dāng)我們需要對(duì)用戶賦權(quán)的時(shí)候，盡量將用戶加入到相應(yīng)的安全組，然后對(duì)這些安全組賦權(quán)，而避免對(duì)用戶直接賦權(quán)。2.在賬號(hào)域（有訪問需求的用戶賬號(hào)所在的域）中，將本域里有相同訪問需求的用戶（如：讀取財(cái)務(wù)信息）加入到同一個(gè)全局組。也就是說，每一個(gè)全局組代表了具有相同訪問需求的人。3.在資源域（需要被訪問的文件夾等資源所在的域）中，為不同的訪問需求類型創(chuàng)建相應(yīng)的域本地組（如：財(cái)務(wù)信息讀取組、財(cái)務(wù)信息修改組）；然后將之前的全局組加入到相應(yīng)的域本地組，如：需要讀取的全局組加入到財(cái)務(wù)信息讀取組。4.在資源上對(duì)域本地組賦相應(yīng)的權(quán)限。如：在財(cái)務(wù)信息文件夾上對(duì)“財(cái)務(wù)讀取”組賦讀取權(quán)限，對(duì)“財(cái)務(wù)修改”組賦修改權(quán)限。這樣，用戶最終會(huì)得到相應(yīng)的權(quán)限。采用此種方法，如果以后要進(jìn)行更改，比如用戶張三從普通財(cái)務(wù)人員升級(jí)到高級(jí)財(cái)務(wù)人員，他需要修改財(cái)務(wù)數(shù)據(jù)而不是讀取，那么我們只用將張三加入到高級(jí)財(cái)務(wù)人員的全局組中即可。以上是AGDLP在NTFS權(quán)限方面的應(yīng)用，對(duì)于AD對(duì)象的權(quán)限有可以使用AGDPL?；顒?dòng)目錄-權(quán)限控制原則AGDLP實(shí)例活動(dòng)目錄-AGDLP權(quán)限控制原則ShangHai：上海，包含的DC有：Paicdcsh2Paicdcsh3Paicdcsh6paicdcsh8ShenZhen：深圳，包含的DC有：Paicdcgl1Paicdcgl2Paicdcgl3Paicdcgl6Paicdcgl8Paicdcsz1Paicdcsz2Paicdcsz7查看工作站所屬站點(diǎn)：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName=ShenZhen查看登錄服務(wù)器：在CMD窗口運(yùn)行Set查看環(huán)境變量：LOGONSERVER=\\PAICDCGL6在CMD窗口運(yùn)行Gpresult活動(dòng)目錄-站點(diǎn)DC：paicdom.local有兩組DC，分別在深圳和上海兩個(gè)IDC中OU：根據(jù)計(jì)算機(jī)賬號(hào)和用戶/組賬號(hào)劃分：paicdom.local/ProductionEnvironment存放的是計(jì)算機(jī)賬號(hào)paicdom.local/U_PingAn存放的是用戶賬號(hào)和組賬號(hào)Banks=銀行BranchManage=加域賬號(hào)和組Endowment=養(yǎng)老險(xiǎn)General=Windows組使用HeadOffice=總部Life=壽險(xiǎn)MicroCredit=信安易貸(小消)NewChannel=新渠道PC=未使用Property=產(chǎn)險(xiǎn)活動(dòng)目錄-公司活動(dòng)目錄概況用戶賬號(hào)屬性—登錄限制、鎖定、隸屬權(quán)限計(jì)算機(jī)賬號(hào)屬性—加入域=在AD中創(chuàng)建計(jì)算機(jī)賬號(hào)或者修改已有計(jì)算機(jī)賬號(hào)的密碼OU屬性全局組通訊組活動(dòng)目錄-實(shí)例解說簡(jiǎn)述-組策略什么是組策略組策略包含的內(nèi)容組策略管理簡(jiǎn)述-什么是組策略GroupPolicyisusedtodefineconfigurationsforgroupsofusersandcomputers.組策略是一個(gè)允許您執(zhí)行針對(duì)用戶和計(jì)算機(jī)進(jìn)行配置的基礎(chǔ)架構(gòu)。組策略設(shè)定包含在組策略對(duì)象中(GPOs)，它們被鏈接到這些活動(dòng)目錄服務(wù)的容器：站點(diǎn)，域或者組織單元(OUs)。這些GPO中的設(shè)置隨后利用活動(dòng)目錄的層級(jí)性質(zhì)，實(shí)施于受影響的對(duì)象。因此，組策略是部署活動(dòng)目錄的一個(gè)最主要的原因之一，因?yàn)樗軌蜃屇奖愕墓芾碛脩艉陀?jì)算機(jī)對(duì)象。組策略是組管理技術(shù)之一，這些統(tǒng)稱為IntelliMirror?管理技術(shù)，即便用戶從網(wǎng)絡(luò)中脫離，仍然可以在任意被管理的計(jì)算機(jī)上向用戶提供統(tǒng)一的應(yīng)用程序，應(yīng)用程序設(shè)定，漫游用戶配置文件以及用戶用戶數(shù)據(jù)。IntelliMirror通過一組Microsoft?Windows?功能得以實(shí)現(xiàn)，這包括活動(dòng)目錄，群組策略，軟件安裝，WindowsInstaller，文件夾重定向，脫機(jī)文件夾以及漫游用戶配置文件。簡(jiǎn)述-什么是組策略-組策略架構(gòu)簡(jiǎn)述-什么是組策略-組策略組件組件描述服務(wù)器

(域控制器)在活動(dòng)目錄森林中，域控制器是一臺(tái)包含活動(dòng)目錄數(shù)據(jù)庫的拷貝，參與活動(dòng)目錄復(fù)制以及控制網(wǎng)絡(luò)資源訪問服務(wù)器，活動(dòng)目錄活動(dòng)目錄，基于Windows目錄服務(wù)，存儲(chǔ)網(wǎng)絡(luò)中對(duì)象的信息，并將信息提供給用戶和網(wǎng)絡(luò)管理員。管理員將GPOs鏈接到諸如站點(diǎn)，域和OUs等包含了用戶和計(jì)算機(jī)對(duì)象的容器上，從而將組策略設(shè)置實(shí)施于組織中的用戶和計(jì)算機(jī)。

組策略對(duì)象(GPO)GPO是一個(gè)組策路設(shè)置的集合，作為一個(gè)虛擬的對(duì)象存儲(chǔ)在域中，由組策略容器(GPC)和組策略模板(GPT)組成。GPC，包含GPO的屬性信息，存儲(chǔ)在域中每臺(tái)域控制器活動(dòng)目錄中。GPT包含GPO的數(shù)據(jù)，存儲(chǔ)在Sysvol的

/Policies

子目錄下。GPO能夠影響包含在站點(diǎn)，域和OU中的用戶和計(jì)算機(jī)。

SysvolSysvol是一個(gè)共享目錄，存儲(chǔ)了域中公用文件的副本，此副本在域中所有的域控制器之間同步。

Sysvol包含了GPO中的數(shù)據(jù):GPT，包含了基于組策略設(shè)置，安全設(shè)置，腳本文件以及關(guān)于軟件安裝應(yīng)用程序的相關(guān)信息的管理模板。它通過文件復(fù)制服務(wù)

(FRS)得以同步。本地組策略對(duì)象本地組策略對(duì)象(localGPO)存儲(chǔ)在每臺(tái)個(gè)人計(jì)算機(jī)上的%systemroot%\System32\GroupPolicy目錄下，具有隱藏屬性。每一臺(tái)運(yùn)行Windows2000,WindowsXPProfessional,WindowsXP64-BitEdition,WindowsXPMediaCenterEdition或者

WindowsServer?2003的計(jì)算機(jī)，不論它是否處于活動(dòng)目錄環(huán)境中，都設(shè)置了嚴(yán)格的localGPO。

LocalGPOs不支持某些擴(kuò)展，比如文件夾重定向或者軟件安裝組策略。也不支持一些安全性設(shè)定，但組策略對(duì)象編輯器的安全設(shè)定擴(kuò)展不支持localGPO的遠(yuǎn)程管理。LocalGPOs始終在執(zhí)行，但它在活動(dòng)目錄環(huán)境中影響力最小，因?yàn)榛诨顒?dòng)目錄的GPOs優(yōu)先。盡管您可以在個(gè)人計(jì)算機(jī)上設(shè)置localGPO，但組策略的完整功能只有在安裝了活動(dòng)目錄的WindowsServer網(wǎng)絡(luò)中方能得以實(shí)現(xiàn)。另外，一些功能和組策略設(shè)置在客戶端需要WindowsXP的支持組策略對(duì)象編輯器組策略對(duì)象編輯器是一個(gè)微軟管理控制臺(tái)(MMC)單元，用于編輯GPO。

之前是組策略管理單元，組策略編輯器或者Gpedit.簡(jiǎn)述-什么是組策略-組策略組件服務(wù)端管理單元MMC管理單元默認(rèn)情況下被組策略對(duì)象編輯器加載。當(dāng)客戶端擴(kuò)展在目標(biāo)客戶端計(jì)算機(jī)上執(zhí)行實(shí)際的策略設(shè)置的時(shí)候，服務(wù)端管理單元擴(kuò)展提供用戶接口，允許您設(shè)置不同的策略設(shè)置。

管理單元擴(kuò)展包括管理模板，腳本，安全性設(shè)定，軟件安裝，文件夾重定向，遠(yuǎn)程安裝服務(wù)，InternetExplorer維護(hù)，磁盤配額，無線網(wǎng)絡(luò)策勒以及QoSPacketScheduler.管理單元可以被擴(kuò)展，比如安全設(shè)置管理單元包括幾個(gè)擴(kuò)展管理單元。開發(fā)者也可以創(chuàng)建他們自己的MMC擴(kuò)展管理單元，使得足策略對(duì)象編輯器提供附加的組策略設(shè)置。

客戶端擴(kuò)展客戶端擴(kuò)展(CSEs)在動(dòng)態(tài)鏈接庫

(DLLs)中運(yùn)行，為組策略在客戶端計(jì)算機(jī)上的執(zhí)行負(fù)責(zé)。缺省狀態(tài)下WindowsServer2003裝載如下CSE:管理模板，無線網(wǎng)絡(luò)策略，文件夾重定向，磁盤配額，

QoSPacketScheduler，腳本，安全，

InternetExplorer維護(hù)，EFS恢復(fù)，軟件安裝以及IP安全

組策略管理控制臺(tái)

(GPMC)GPMC是一個(gè)新的進(jìn)行組策略單一化執(zhí)行和管理工具。它由一個(gè)新的管理單元和組策略管理的腳本集合組成。組策略管理控制臺(tái)提供：

?

一個(gè)基于如何定制使用和管理組策略的用戶界面，這比之前基于技術(shù)如何構(gòu)建要來的好。

?

導(dǎo)入/導(dǎo)出，復(fù)制/粘貼和GPO的搜索?

組策略相關(guān)安全的單一化管理

?

對(duì)于GPO和策略結(jié)果集

(RSoP)數(shù)據(jù)的報(bào)表(對(duì)于GPO的打印，保存，只讀訪問)?

GPO的備份/恢復(fù)?

用此工具查看GPO操作腳本

(但不能查看GPO中設(shè)置的腳本).策略結(jié)果集管理單元(RSoP)策略結(jié)果集

(RSoP)管理單元是一個(gè)單一的組策略執(zhí)行和錯(cuò)誤排查的MMC管理單元。RSoP使用Windows管理規(guī)范

(WMI)測(cè)定組策略設(shè)定是如何被應(yīng)用到用戶和計(jì)算機(jī)商的。對(duì)于RSoP功能性來說，它建議在GPMC中使用此報(bào)表功能。

WinlogonWindows操作系統(tǒng)中提供交互式登陸支持的組件，Winlogon是組策略引擎運(yùn)行的服務(wù)。.組策略引擎組策略引擎是一個(gè)擴(kuò)越客戶端擴(kuò)展，包括組策路運(yùn)作排程，從相關(guān)設(shè)置定位中獲取GPO以及GPO的排序和過濾，處理共處理公用功能性的框架。文件系統(tǒng)存在于客戶端計(jì)算機(jī)上的NTFS文件系統(tǒng)簡(jiǎn)述-什么是組策略-組策略組件注冊(cè)表一個(gè)關(guān)于計(jì)算機(jī)設(shè)置信息的存儲(chǔ)數(shù)據(jù)庫，注冊(cè)表包含系統(tǒng)操作期間Windows不斷設(shè)計(jì)的信息，比如：

1.

每個(gè)用戶的配置文件。

2.

安裝在計(jì)算機(jī)上的程序和每個(gè)能夠創(chuàng)建的文檔類型。

3.

文件夾和程序圖標(biāo)的屬性設(shè)置。

4.

系統(tǒng)硬件

5.

使用中的端口注冊(cè)表是樹狀層級(jí)組織，它由鍵及其子鍵，配置單元以及注冊(cè)項(xiàng)構(gòu)成。注冊(cè)表引擎對(duì)于注冊(cè)表具有讀寫權(quán)限。注冊(cè)表設(shè)置可以通過組策略管理模板擴(kuò)展來控制。

事件日志事件日志是一個(gè)服務(wù)，處于事件查看器，在系統(tǒng)，安全和應(yīng)用程序日志中記錄事件。組策略引擎對(duì)于客戶端和域控制器上的事件日志具有寫訪問。

幫助和支持中心幫助和支持中心是一個(gè)存在于每臺(tái)計(jì)算機(jī)上的組件，為作用于計(jì)算機(jī)上的組策略設(shè)置提供HTML報(bào)表。

策略結(jié)果集

(RSoP)基礎(chǔ)結(jié)構(gòu)所有的組策略執(zhí)行信息被收集、儲(chǔ)存在本地計(jì)算機(jī)上的共用信息模型對(duì)象管理(CIMOM)數(shù)據(jù)庫中，這個(gè)信息，例如列表、目錄和每個(gè)GPO處理的詳細(xì)記錄，可以被使用WMI的工具訪問。

在日志模式(組策略結(jié)果)，RSoP查詢目標(biāo)計(jì)算機(jī)上的CIMOM數(shù)據(jù)庫，獲取關(guān)于策略的相關(guān)信息并將其顯示在GPMC中。在規(guī)劃模式(組策略模型),RSoP虛擬出域控制器上使用組策勒目錄訪問服務(wù)(GPDAS)的策略運(yùn)作環(huán)境，由GPDAS模仿GPO運(yùn)作，并將它們傳遞給域控制器上的虛擬客戶端擴(kuò)展，這個(gè)模擬過程的結(jié)果在回傳并顯示在GPMC之前，存儲(chǔ)在本地CIMOM數(shù)據(jù)庫中。WMIWMI是一個(gè)管理的基礎(chǔ)架構(gòu)，它支持通過一組公用界面實(shí)施系統(tǒng)資源的監(jiān)視和控制，同時(shí)提供一個(gè)邏輯上有組織的，一致的Windows操作、配置信息和狀態(tài)模型。

WMI收集目標(biāo)計(jì)算機(jī)的相關(guān)數(shù)據(jù)用于管理用途，這些數(shù)據(jù)包括硬件和軟件列表，設(shè)置和配置信息。例如：WMI公開諸如CPU，內(nèi)存，磁盤空間，內(nèi)存和廠商等硬件信息，從注冊(cè)表，驅(qū)動(dòng)程序，文件系統(tǒng)，活動(dòng)目錄，WindowsInstaller服務(wù)，網(wǎng)絡(luò)配置和應(yīng)用程序數(shù)據(jù)中獲取軟件信息。WindowsServer2003上的WMI過濾允許您給予這些數(shù)據(jù)創(chuàng)建查詢，這些查詢（也稱為WMI過濾器）檢測(cè)，在您創(chuàng)建顧慮其的地方，用戶和計(jì)算機(jī)將會(huì)接受到的所有的策略設(shè)置。GPO的容器路徑：paicdom.local/System/PoliciesGPO存放使用的為GUID，而不是“友好名稱”NamedbyGUID,notbyfriendlyname簡(jiǎn)述-組策略對(duì)象(GPOs)的存放GroupPoliceTemplate的存放位置：\\paicdom.local\SYSVOL\paicdom.local\Policies本地策略的存放路徑為：Windows\System32\GroupPolicy簡(jiǎn)述-組策略對(duì)象(GPOs)的存放組策略對(duì)象的繼承：默認(rèn)下級(jí)OU會(huì)繼承上級(jí)OU的組策略。當(dāng)各級(jí)OU之間的策略有沖突時(shí)，請(qǐng)參考下頁簡(jiǎn)述-組策略對(duì)象的繼承組策略的優(yōu)先級(jí)，確定了設(shè)置生效的級(jí)別：組策略的應(yīng)用次序是本地->站點(diǎn)->域->OU，如果策略有沖突，則后應(yīng)用的生效。簡(jiǎn)述-組策略的優(yōu)先級(jí)計(jì)算機(jī)策略：對(duì)應(yīng)計(jì)算機(jī)配置，對(duì)計(jì)算機(jī)的相應(yīng)設(shè)置，原則上無論是哪些用戶在這些計(jì)算機(jī)上登錄，都將加載此設(shè)置。一般對(duì)應(yīng)注冊(cè)表HKLM用戶策略：對(duì)應(yīng)用戶的相應(yīng)設(shè)置。原則上無論這些用戶在那些計(jì)算機(jī)上登錄，都將加載這些設(shè)置。對(duì)應(yīng)注冊(cè)表HKCR簡(jiǎn)述-用戶策略和計(jì)算機(jī)策略gpmc.msc請(qǐng)下載安裝組策略管理控制臺(tái):《MicrosoftGroupPolicyManagementConsole》下載鏈接：/downloads/details.aspx?displaylang=zh-cn&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887簡(jiǎn)述-組策略的管理工具運(yùn)行rsop.msc可以得到本機(jī)和用戶應(yīng)用的策略結(jié)果集合通過該工具可以很清晰的看到本機(jī)已應(yīng)用的各項(xiàng)設(shè)置：簡(jiǎn)述-組策略的策略結(jié)果集-rsop.mscgpresult:DisplaysGroupPolicysettingsandResultantSetofPolicy(RSoP)forauseroracomputer.簡(jiǎn)述-組策略的策略結(jié)果集-gpresult組策略應(yīng)用的系統(tǒng)日志：事件查看器應(yīng)用程序組策略執(zhí)行的詳細(xì)日志：C:\WINDOWS\security\logs\diagnosis.logC:\WINDOWS\security\logs\winlogon.log簡(jiǎn)述-組策略的執(zhí)行日志管理員權(quán)限控制管理權(quán)限的控制是通過“受限制的組”實(shí)現(xiàn)。在【計(jì)算機(jī)配置】【W(wǎng)indows設(shè)置】【安全設(shè)置】【受限制的組】已有組策略解釋-管理員權(quán)限控制USB存儲(chǔ)設(shè)備禁用USB存儲(chǔ)設(shè)備禁用的原理如下：拒絕系統(tǒng)賬號(hào)和其他賬號(hào)對(duì)%systemroot%\inf\usbstor.pnf和usbstor.inf兩個(gè)文件的訪問權(quán)限，阻止系統(tǒng)安裝usb存儲(chǔ)類設(shè)備的驅(qū)動(dòng)設(shè)置注冊(cè)表HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\start=4，控制已驅(qū)動(dòng)的U盤設(shè)備的啟動(dòng)。Start=3為允許啟動(dòng)，Start=4為拒絕啟動(dòng)設(shè)置注冊(cè)表HKLM\SYSTEM\CurrentControlSet\Control\storagedevicepolicies\writeprotect=1，控制U盤設(shè)備的讀寫。writeprotect=1為寫保護(hù)，writeprotect=0為可讀寫拒絕管理員組對(duì)注冊(cè)表HKLM\SYSTEM\CurrentControlSet\Control\storagedevicepolicies\和HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\的修改權(quán)限，阻止管理員隨意開啟U盤權(quán)限。已有組策略解釋-USB存儲(chǔ)設(shè)備WSUS補(bǔ)丁升級(jí)WSUS補(bǔ)丁升級(jí)設(shè)置的原理如下：默認(rèn)的系統(tǒng)管理模板有對(duì)應(yīng)的設(shè)置選項(xiàng)，可直接修改?！居?jì)算機(jī)配置】【管理模板】【W(wǎng)indows組件】【W(wǎng)indowsUpdate】已有組策略解釋-WSUS補(bǔ)丁升級(jí)組策略模板展示：初步