4.1 认识组策略

组策略就是基于组的策略，它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。通过使用组策略，用户可以设置各种软件、计算机和用户策略。

组策略主界面共分为左、右两个窗格，左边窗格中的【“本地计算机”策略】由“计算机配置”和“用户配置”两个子项构成，右边窗格中是针对左边某一配置可以设置的具体策略。

4.1.1 组策略的对象

组策略的基本单元是组策略对象GPO，它是一组设置的组合，有两种类型的组策略对象，即本地组策略对象和非本地组策略对象。

组策略的作用范围由它们所链接的站点、域或组织单元启用。

4.1.2 组策略的基本配置

1. 计算机配置

计算机配置包括所有与计算机相关的策略设置，它们用来指定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、指定的计算机应用选项及应用设置。

2. 用户配置

用户配置包括所有与用户相关的策略设置，它们用来指定操作系统行为、桌面设置、安全设置、指定和发布的应用选项、应用设置、文件夹重定向选项、用户登录与注销脚本等。

3. 组策略插件扩展

（1）软件设置。

（2）Windows设置。包括账号策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、IP安全策略及公钥策略。

（3）管理模板。

4.1.3 使用组策略可以实现的功能

（1）账户策略的设定。

（2）本地策略的设定。

（3）脚本的设定。

（4）用户工作环境的定制。

（5）软件的安装与删除。

（6）限制软件的运行。

（7）文件夹的转移。

（8）其他系统设定。

4.1.4 计算机安全组策略的启动方法

1. 一般启动

首先来看一般启动的方法。

（1）同时按住“Windows”+“R”组合键，打开“运行”对话框，在文本框中输入“gpedit.msc”，单击“确定”按钮即可打开计算机的组策略，如图4-1所示。

（2）然后就可以看到打开的组策略窗口了，如图4-2所示。

2. MMC管理单元启动

（1）同时按住“Windows”+“R”组合键，打开“运行”对话框，在文本框中输入“MMC”，单击“确定”按钮，如图4-3所示。

（2）在打开的Microsoft管理控制台窗口中，选择“文件”/“添加/删除管理单元”菜单命令，如图4-4所示。

（3）打开“添加或删除管理单元”对话框，在“可用的管理单元”列表框中选择“组策略对象编辑器”选项，然后单击“添加”按钮，如图4-5所示。

（4）在打开的组策略向导对话框中选择要添加的组策略对象，单击“完成”按钮，如图4-6所示。

（5）在返回的“添加或删除管理单元”对话框中，单击“确定”按钮，然后就可以在控制台窗口中看到添加的组策略了，如图4-7所示。

4.1.5 组策略的应用时机

1. 计算机配置时

计算机开机时自动启用，域控制器默认每隔5分钟自动启用，非域控制器默认每隔90～120分钟自动启用。此外，不论策略是否有变动，系统每隔16小时自动启用一次。

2. 用户配置时

用户登录时自动启用，系统默认每隔90分钟自动启用。此外，不论策略是否有变动，系统每隔16小时自动启用一次。