16第十六章 组策略(Group Policy)Microsoft Windows Server 2003 Enterprise Edition

什么是组策略？组策略（英语：Group Policy）是微软Windows NT家族操作系统的一个特性，它可以控制用户帐户和计算机帐户的工作环境。

组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。

组策略的其中一个版本名为本地组策略（缩写“LGPO”或“LocalGPO”），这可以在独立且非域的计算机上管理组策略对象。

打开方式：1：使用组策略命令（gpedit.msc）打开组策略2：在电脑的开始菜单搜索“编辑”或者“编辑组策略”，然后点击打开3：在资源管理器输入C:\WINDOWS\system32\gpedit.msc 回车即可打开什么是注册表？注册表（Registry，繁体中文版Windows操作系统称之为登录档）是Microsoft Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。

早在Windows 3.0推出OLE技术的时候，注册表就已经出现。

随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。

但是，从Microsoft Windows 95操作系统开始，注册表才真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用至今。

打开注册表的命令是：regedit或regedit.exe、regedt32或regedt32.exe正常情况下，你可以点击开始菜单当中的运行，然后输入regedit或regedit.exe点击确定就能打开windows操作系统自带的注册表编辑器了，有图慎重提醒，操作注册表有可能造成系统故障，若您是对windows注册表不熟悉、不了解或没有经验的windows操作系统用户建议尽量不要随意操作注册表。

如果上述打开注册表的方法不能使用，说明你没有管理员权限，或者注册表被锁定，如果是没有权限，请寻找电脑管理员帮助解决，如果注册表被锁定，请参照下面的方式进行解锁。

组策略安全选项对应注册表项汇总在组策略中的位置：计算机设置-》Windows设置-》安全设置-》本地策略-》安全选项详细列表：［MACHINE\System\CurrentControlSet\Control\Lsa］值名：AuditBaseObjects含义：对全局系统对象的访问进行审计类型：REG_DWORD数据：0=停用1=启用值名：CrashOnAuditFail含义：如果无法纪录安全审计则立即关闭系统类型：REG_DWORD数据：0=停用1=启用值名：FullPrivilegeAuditing含义：对备份和还原权限的使用进行审计类型：REG_BINARY数据：0=停用1=启用值名：LmCompatibilityLevel含义：LAN Manager身份验证级别类型：REG_DWORD数据：0=发送LM &NTLM响应1=发送LM & NTLM -若协商使用NTLMv2安全2=仅发送NTLM响应3=仅发送NTLMv2响应4=仅发送NTLMv2响应\拒绝LM5=仅发送NTLMv2响应\拒绝LM &NTLM值名：RestrictAnonymous含义：对匿名连接的额外限制（通常用于限制IPC$空连接）类型：REG_DWORD数据：0=无。

下发域控组策略-回复关于下发域控组策略的过程和相关内容。

在本文中，我们将逐步回答有关此主题的问题，并提供有关如何在域控制器上下发组策略的详细说明。

第一节：什么是域控制器和组策略在开始讨论如何下发域控制器（DC）组策略之前，我们需要了解域控制器和组策略的基本概念。

1. 域控制器（Domain Controller）：域控制器是在Microsoft Windows Server环境中用于实施和管理基于域（Domain）的网络的服务器。

域控制器存储了有关网络中的用户账户、计算机和其他网络资源的信息，并被用于身份验证和授权。

2. 组策略（Group Policy）：组策略是一种在Windows环境中实施和管理网络安全和配置的方法。

组策略允许IT管理员为其域中的用户和计算机设置和强制执行特定的安全设置、应用程序设置、网络连接设置等。

第二节：如何下发域控制器组策略1. 准备工作在下发组策略之前，需要先准备好以下内容：- 管理员账户：需要使用具有适当权限的域管理员账户进行组策略管理。

- 域环境：需要部署一个域控制器并创建一个活动目录（Active Directory）域，以组织和管理用户和计算机账户。

- 组策略对象（Group Policy Object，GPO）：GPO是组策略的容器，其中包含了一系列组策略设置。

可以使用“组策略管理”工具创建和编辑GPO。

2. 创建和编辑GPO创建和编辑GPO的步骤如下：- 打开“组策略管理”工具（可以在域控制器上的“管理工具”中找到）。

- 在“组策略管理”界面中，展开“林”>“域”>“域名”>“默认域策略”。

- 右键单击“默认域策略”，选择“编辑”。

- 在“组策略管理编辑器”界面中，可以编辑各种组策略设置，如安全设置、软件设置、Windows设置等。

3. 配置组策略设置通过编辑GPO，可以配置各种组策略设置，例如密码策略、桌面设置、网络设置等。

- 密码策略：可以设置密码长度、复杂性要求、账户锁定策略等。

组策略组策略（Group Policy）是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

基本概况所谓组策略，就是基于组的策略。

它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置，包括桌面配置和安全配置。

譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。

简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。

注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。

当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，主要应用于Windows 2000/XP/2003/7/2008操作系统中。

早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。

当用户登录时，它会重写注册表中的设置值。

当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。

WINDOWS组策略冲突分析Windows组策略（Group Policy）是一种用于管理Windows操作系统的工具，可以通过策略集中管理网络中的计算机和用户。

然而，在使用Windows组策略时，可能会遇到一些冲突。

1. 策略之间的优先级冲突：Windows组策略可以应用于不同层次的组织单位，包括域、组织单位和站点。

当多个组策略同时应用于一个对象时，可能会发生优先级冲突。

优先级由下至上依次是：本地组策略、站点组策略、域组策略和组织单位组策略。

如果不同层次的组策略设置了相同的配置项，那么优先级较高的组策略将覆盖优先级较低的组策略。

2. 策略之间的配置冲突：Windows组策略可以对操作系统的各个方面进行配置，例如安全设置、软件安装、桌面设置等。

如果不同的组策略设置了相同的配置项，但是配置值不同，那么就会发生配置冲突。

这可能导致系统行为不一致，或者一些配置未生效。

3.策略之间的禁用冲突：在组织中可能会有多个管理员负责管理不同组策略。

如果一个管理员禁用了一些配置项，而另一个管理员在其组策略中启用了相同的配置项，那么就会发生禁用冲突。

这种情况下，系统可能无法确定配置项的实际状态，导致意想不到的行为。

4. 多个域之间的策略冲突：在跨域环境下，如果不同的域设置了相同的组策略，可能会发生策略冲突。

这可能导致域内的计算机或用户遵循不一致的策略。

为避免这种冲突，建议在设计组策略时考虑跨域链接（cross-domain links）和域边界（domain boundaries）。

解决这些组策略冲突的方法如下：1.设计合理的组策略优先级：在制定组策略时，要考虑不同组织单位、域和站点之间的优先级关系。

合理设置组策略的优先级可以确保配置的正确应用。

2.避免重复的配置项：在不同层次的组策略中，尽量避免设置相同的配置项。

可以通过审查已有的组策略，查找重复的配置项并进行合并。

3.统一管理组策略：建议由专门的组策略管理员负责组策略的管理和配置，避免不同管理员之间的冲突。

office2016组策略模板Office 2016组策略模板是一种用于管理和配置Office 2016应用程序行为的工具。

它们是一组预定义的设置，可以通过组策略对象编辑器（Group Policy Object Editor）应用于组织中的计算机和用户。

Office 2016组策略模板包含了各种设置选项，可以帮助管理员控制Office应用程序的功能和行为。

这些设置涵盖了Office套件中的各个应用程序，如Word、Excel、PowerPoint、Outlook等。

通过使用组策略模板，管理员可以实施一致的配置，确保组织中的所有计算机和用户都遵循相同的规则和策略。

这样可以提高安全性、管理效率和用户体验。

Office 2016组策略模板可以用于各种目的，如：1. 安全设置，管理员可以配置Office应用程序的安全选项，如禁用宏、限制宏的执行、设置安全警告等，以减少潜在的安全风险。

2. 功能和选项配置，管理员可以控制Office应用程序的各种功能和选项，如启用/禁用特定功能、设置默认选项、自定义界面等，以满足组织的需求。

3. 文件格式和保存选项，管理员可以设置Office应用程序的文件格式和保存选项，如默认保存格式、自动保存间隔、保存位置等，以确保数据的一致性和可访问性。

4. 连接和共享设置，管理员可以配置Office应用程序的连接和共享选项，如自动连接到共享文件夹、设置默认打开和保存位置等，以提高协作和工作效率。

5. Outlook设置，管理员可以管理Outlook应用程序的各种设置，如电子邮件安全性、自动归档、自动转发等，以满足组织的邮件管理需求。

使用Office 2016组策略模板的步骤如下：1. 下载组策略模板，可以从Microsoft官方网站下载Office 2016组策略模板，它们以.admx和.adml文件的形式提供。

2. 安装组策略模板，将下载的.admx和.adml文件复制到组策略对象编辑器的模板目录中，通常是C:\Windows\PolicyDefinitions目录。