📄 202004.htm

📁 探索Windows 2000发展策略以及中介层技术设计的基本概念
💻 HTM
📖 第 1 页 / 共 2 页
字号:
12 下一页
<html><body><span  id=Layer1><a name=202004><font color=#3e70d7 face=arial size=5><b>Active Directory使用范例：群组原则</span><span  id=Layer2></b></font><p><font size=2 color=#3c3c3c face=arial>目录服务有许多的应用。在本书已描述许多方面的应用，不过其中有一项值得立即探讨：群组原则。就如同它的名称所暗示，群组原则可让系统管理者定义一些政策，以便控制网域中某些使用者可以看到的环境。然後Windows 2000便可以实行定义的政策，以确保环境能够保有一致性。群组原则只能够套用在执行Windows 2000 的电脑上，执行其它较旧版的作业系统则无法使用。</span><span  id=Layer3></font></p><p><font size=2 color=#3c3c3c face=arial>群组原则允许你集中定义，然後实行定义的原则</span><span  id=Layer4></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>群组原则允许你集中定义，然後实行定义的原则</span><span  id=Layer5></font></p><hr><p><font size=2 color=#3c3c3c face=arial>以下是运作的过程：系统管理者使用群组原则嵌入式管理单元来定义Group Policy物件（GPO）。 建立物件之後，系统管理者就可以设定包含在GPO中的群组原则（这些设定将在稍後简短地描述）。接下来系统管理者将GPO和网域中的Active Directory阶层内的容器（container）物件关联在一起。在整个网域、OU或站台中，都可以使用这个物件（这也就是说它可以是网域树状结构中的根物件）。</span><span  id=Layer6></font></p><p><font size=2 color=#3c3c3c face=arial>设定的原则将会储存在Gro-up Policy物件</span><span  id=Layer7></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>设定的原则将会储存在Gro-up Policy物件</span><span  id=Layer8></font></p><hr><p><font size=2 color=#3c3c3c face=arial>同一个GPO可以和许多不同的目录容器（container）物件关联在一起，让GPO中包含的设定可以套用到所有的容器物件上。同样的，一个使用者或一台电脑也有可能座落在两个或多个GPO的范围中，若这样的情况发生了，预设所有GPO中设定的原则都会套用。换句话说，在树状目录阶层下方的GPO可以继承阶层上方的GPO所定义的原则。</span><span  id=Layer9></font></p><p><font size=2 color=#3c3c3c face=arial>对於组成一个网域树状结构的群组们而言，为网域树状结构中阶层较高的网域所设定的GPO，可以不让较低阶层的继承。不过也有可能关联到定义在一个网域、OU或其它网域中的站台上所定义的GPO。不过若这样设定时，当套用GPO的原则时会降低执行效能，因此大部份的情况下并不建议您这样做。</span><span  id=Layer10></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b>附注 </b></font><p><font size=2 color=#3c3c3c face=arial>对於组成一个网域树状结构的群组们而言，为网域树状结构中阶层较高的网域所设定的GPO，可以不让较低阶层的继承。不过也有可能关联到定义在一个网域、OU或其它网域中的站台上所定义的GPO。不过若这样设定时，当套用GPO的原则时会降低执行效能，因此大部份的情况下并不建议您这样做。</span><span  id=Layer11></font></p><hr><p><font size=2 color=#3c3c3c face=arial>举例来说，图2-17显示了us.qwickbank.com网域所定义的两个GPO。GPO1定义的原则从A到E，它关联到整个网域的容器（container） 物件。GPO2定义原则设定X、Y与Z，它关联到网域中特定的OU。在这个情况下，定义在GPO1的A到E设定将会套用到网域中所有的电脑和使用者，而容纳电脑与使用者的OU将会套用到X、Y、Z设定。</span><span  id=Layer12></font></p><br><center><a target=_new href=imagesh/2-17.gif><img border=0 src='imagesl/2-17.gif'></a></center></span><span  id=Layer13><center><table border=0 ><td align=center><font color=#3c3c3c face=arial size=2><font size=2 face=arial color=#3e80d7><b>&nbsp;图2-17</span><span  id=Layer14>&nbsp;</b></font>在GPO中的原则设定将套用到特定网域、OU或站台的使用者和电脑上。</span><span  id=Layer15></td></table></font></center><font color=#3e72d7 face=arial size=4><b>原则的类型</span><span  id=Layer16></b></font><p><font size=2 color=#3c3c3c face=arial>群组原则有两种类型，如下：</span><span  id=Layer17></font></p><font size=2 color=#3c3c3c face=arial><ul><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b>&nbsp;电脑设定</span><span  id=Layer18>&nbsp;</b></font>（</span><span  id=Layer19><font size=2 face=arial color=#3e80d7><b>&nbsp;Computer Configuration</span><span  id=Layer20>&nbsp;</b></font>）</span><span  id=Layer21><font size=2 face=arial color=#3e80d7><b>&nbsp;原则</span><span  id=Layer22>&nbsp;</b></font>针对各个电脑套用，这些设定将会套用到网域中特定的电脑上，不管是哪一个使用者登入到这台电脑。</span><span  id=Layer23></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b>&nbsp;使用者设定</span><span  id=Layer24>&nbsp;</b></font>（</span><span  id=Layer25><font size=2 face=arial color=#3e80d7><b>&nbsp;User Configuration</span><span  id=Layer26>&nbsp;</b></font>）</span><span  id=Layer27><font size=2 face=arial color=#3e80d7><b>&nbsp;原则</span><span  id=Layer28>&nbsp;</b></font>针对每个使用者套用，这些设定可套用到网域中的特定使用者，不管使用者在哪一台电脑上登入。</span><span  id=Layer29></li><br></font></ul></font><p><font size=2 color=#3c3c3c face=arial>使用者能够看到哪一种原则设定是依赖於套用到此位使用者的使用者设定，和套用到使用者登入的电脑上的电脑设定。如图2-18所示，电脑设定是在特定的电脑开机时套用，而使用者设定则是在使用者登入时套用（有些原则设定可在系统管理者所设定的间隔，周期性地重新整理）。注意，原则只会套用到使用者或电脑上，它们并不会套用到群组或其它类型的物件。</span><span  id=Layer30></font></p><p><font size=2 color=#3c3c3c face=arial>特定使用者所看到的群组原则是套用所有GPO的结果</span><span  id=Layer31></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>特定使用者所看到的群组原则是套用所有GPO的结果</span><span  id=Layer32></font></p><hr><br><center><a target=_new href=imagesh/2-18.gif><img border=0 src='imagesl/2-18.gif'></a></center></span><span  id=Layer33><center><table border=0 ><td align=center><font color=#3c3c3c face=arial size=2><font size=2 face=arial color=#3e80d7><b>&nbsp;图2-18</span><span  id=Layer34>&nbsp;</b></font>电脑设定原则是在机器开机时套用，而使用者设定原则则是在使用者登入时套用。</span><span  id=Layer35></td></table></font></center><p><font size=2 color=#3c3c3c face=arial>相同的，每一台执行Windows 2000的电脑都拥有一个本机的GPO（LGPO），就像设定其它GPO一样，它可以使用群组原则进行组态。跟非本机的GPO不同的是，它包含的群组原则是储存、并套用在相同的机器上。而定义在机器的LGPO可被这台机器所属网域的非本机GPO所覆盖，也就是说LGPO是GPO阶层结构中最不具影响力的。</span><span  id=Layer36></font></p><font color=#3e72d7 face=arial size=4><b>群组原则能掌控的东西</span><span  id=Layer37></b></font><p><font size=2 color=#3c3c3c face=arial>GPO允许你在许多不同的领域定义原则，包含以系统登录为基础的原则、软体安装、目录重新导向、Scripting控制与安全性。这一节将描述每一种领域。</span><span  id=Layer38></font></p><p><font size=2 color=#3c3c3c face=arial>群组原则可以控制许多环境造成的各种问题</span><span  id=Layer39></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>群组原则可以控制许多环境造成的各种问题</span><span  id=Layer40></font></p><hr><p><font size=2 color=#3c3c3c face=arial><font size=2 face=arial color=#3e80d7><b>&nbsp;以系统登录为基础的政策</span><span  id=Layer41>&nbsp;</b></font>这个原则类别允许一个系统管理者集中控制用来管理机器的系统登录。可以设定的原则包含：</span><span  id=Layer42></font></p><font size=2 color=#3c3c3c face=arial><ul><font size=2 face=arial color=#3c3c3c><li>启动（Start）选单的任一个选项，如使用者是否可以看执行（Run）指令、寻找（Search）指令或关机（Shutdown）指令。</span><span  id=Layer43></li><br></font><font size=2 face=arial color=#3c3c3c><li>是否允许使用者修改系统登录。</span><span  id=Layer44></li><br></font><font size=2 face=arial color=#3c3c3c><li>允许使用者执行哪些应用程式。</span><span  id=Layer45></li><br></font><font size=2 face=arial color=#3c3c3c><li>使用者可视的桌面背景与颜色。</span><span  id=Layer46></li><br></font><font size=2 face=arial color=#3c3c3c><li>使用者是否可以执行工作管理员（Task Manager）。</span><span  id=Layer47></li><br></font></ul></font><p><font size=2 color=#3c3c3c face=arial>群组原则可以控制许多环境造成的各种问题</span><span  id=Layer48></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>群组原则可以控制许多环境造成的各种问题</span><span  id=Layer49></font></p><hr><p><font size=2 color=#3c3c3c face=arial>这决不是完整的清单，还存在许多、许多的可能性。重点是得明智审慎地使用这些选项，系统管理者可以稍加练习以便控制使用者的桌面。</span><span  id=Layer50></font></p><p><font size=2 color=#3c3c3c face=arial><font size=2 face=arial color=#3e80d7><b>&nbsp;软体安装</span><span  id=Layer51>&nbsp;</b></font>当新增一个使用者到一个特定的网域时，一般来说，这个使用者需要存取某些已定义的应用程式。举例来说，在us.qwickbank.com网域的每个使用者可能需要使用Microsoft Excel、Microsoft Word与自行开发的银行应用程式。同样的，也有让既有的使用者存取新应用程式的需要。使用群组原则，系统管理者便可以集中定义哪个应用程式可以让网域中、OU或一个站台的哪一些使用者使用，并让这些应用程式自动地让这些使用者存取。为了达到这的目的，应用程式可以组态设定指派（assigned）或公告（published）应用程式。</span><span  id=Layer52></font></p><p><font size=2 color=#3c3c3c face=arial>使用群组原则可以允许你存取应用程式</span><span  id=Layer53></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>使用群组原则可以允许你存取应用程式</span><span  id=Layer54></font></p><hr><p><font size=2 color=#3c3c3c face=arial>列在特定GPO所有的指派（assigned）应用程式将能让套用到这个GPO的所有使用者存取。这个应用程式的捷径将会出现在使用者的启动（Start）选单，而系统登录中将会包含相关的资讯。应用程式本身并没有真正安装起来，它是用来公告应用程式存在於Active Directory （使用一种称为类别储存体的机制）。当使用者第一次企图启动这个应用程式时，将会下载应用程式的二进位元档案到使用者的工作站上，然後进行安装。</span><span  id=Layer55></font></p><p><font size=2 color=#3c3c3c face=arial>GPO中的资讯储存在2个不同的地方</span><span  id=Layer56></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>GPO中的资讯储存在2个不同的地方</span><span  id=Layer57></font></p><hr><p><font size=2 color=#3c3c3c face=arial>关於以COM为基础的应用程式在这方面的运作过程将於</span><span  id=Layer58>&nbsp;<a target='_new' href=208.htm#>第八章</span><span  id=Layer59></a>&nbsp;中描述。</span><span  id=Layer60></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b>附注 </b></font><p><font size=2 color=#3c3c3c face=arial>关於以COM为基础的应用程式在这方面的运作过程将於</span><span  id=Layer61>&nbsp;<a target='_new' href=208.htm#>第八章</span><span  id=Layer62></a>&nbsp;中描述。</span><span  id=Layer63></font></p><hr><p><font size=2 color=#3c3c3c face=arial>从现在开始，在这台机器上，这个应用程式将会一直保持已安装的状态，它只会在第一次被存取时进行下载的动作。若使用者删除一个指派的应用程式，或不小心移除的程式部份的档案，如主要的DLL档案，这个遗失的部份将会被侦测到，同时在下回应用程式要启动时自动进行修护的动作，系统将会自动下载遗漏的档案。</span><span  id=Layer64></font></p><p><font size=2 color=#3c3c3c face=arial>同样的，若使用者双击一个关联到指派（assigned）应用程式的档案，而此应用程式尚未安装，它将会在那一个时间点自动下载并进行安装。举例来说，假设某个使用者使用电子邮件寄送给这个使用者一个Microsoft Word档案，不过这个使用者的工作站上并没有安装Word。若Word也是一个指派到使用者或电脑的应用程式，则双击这份Word档案将会自动安装Word。</span><span  id=Layer65></font></p><p><font size=2 color=#3c3c3c face=arial>对照之下，公告（published）应用程式并不会自动地显露给使用者使用。启动选单上并不会出现应用程式的捷径，也没有任何应用程式会被预先载入使用者工作站的系统登录之相关资讯。取代的做法，使用者可以使用新增/移除程式这个工具来察看所有公告应用程式的清单，然後依赖类别储存体（Class store）来进行操作。这份清单包含套用到结合使用者、电脑的群组原则设定之所有公告应用程式，使用者可以依其需求明确地安装任何应用程式。跟指派应用程式一样，使用者企图开启一个公告应用程式时，将会自动进行安装的动作。</span><span  id=Layer66></font></p><p><font size=2 color=#3c3c3c face=arial>一个公告应用程式必需由使用者明确地进行安装</span><span  id=Layer67></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>一个公告应用程式必需由使用者明确地进行安装</span><span  id=Layer68></font></p><hr><p><font size=2 color=#3c3c3c face=arial>不管是指派应用程式或公告应用程式，典型上都是使用Windows Installer进行包装的。这些封装档案的附档名为  .msi。一旦完成这个工作，系统便拥有足够的资讯以在必要的时候，下载并正确地安装应用程式。</span><span  id=Layer69></font></p><p><font size=2 color=#3c3c3c face=arial><font size=2 face=arial color=#3e80d7><b>&nbsp;目录重新导向</span><span  id=Layer70>&nbsp;</b></font>这些原则设定可让一个网域的系统管理者能够将位於使用者桌上型电脑上的特定目录指向网路中某台档案型伺服器的某个目录。举例来说，使用者的</span><span  id=Layer71><font size=2 face=arial color=#3e80d7><b>&nbsp;我的文件</span><span  id=Layer72>&nbsp;</b></font>（My Documents）目录可能被设定为指向某个特定的地方，以便让使用者不管从哪一台电脑上登入时都能够存取到它的内容。同样的，桌上型电脑的启动（Start）选单，和其它的选项都可以使用群组原则（Group Policy）重新导向一台共享的伺服器。</span><span  id=Layer73></font></p><p><font size=2 color=#3c3c3c face=arial>一个公告应用程式必需由使用者明确地进行安装</span><span  id=Layer74></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>一个公告应用程式必需由使用者明确地进行安装</span><span  id=Layer75></font></p><hr><p><font size=2 color=#3c3c3c face=arial><font size=2 face=arial color=#3e80d7><b>&nbsp;Scripting控制</span><span  id=Layer76>&nbsp;</b></font>这些原则设定控制了当机器重新开机、关机，或当使用者登入、登出时，能在工作站上执行的Script。若使用Windows Scripting Host，则你可以使用VBScript、JavaScript，或其它语言来撰写Script。当然，不喜欢写Script的人还是可以自行撰写传统的MS-DOS指令。</span><span  id=Layer77></font></p><p><font size=2 color=#3c3c3c face=arial>Script可以自动执行</span><span  id=Layer78></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>Script可以自动执行</span><span  id=Layer79></font></p><hr><p><font size=2 color=#3c3c3c face=arial><font size=2 face=arial color=#3e80d7><b>&nbsp;安全性</span><span  id=Layer80>&nbsp;</b></font>这是能透过GPO的安全设定来控制的原则，以便能以集中式组态许多不同的安全设定。 可使用的选项包含：</span><span  id=Layer81></font></p><font size=2 color=#3c3c3c face=arial><ul><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b>&nbsp;密码原则设定</span><span  id=Layer82>&nbsp;</b></font>举例来说，密码变更的频率、密码至少要包含多少个字元、以及多久後使用者才可以重新使用旧密码。</span><span  id=Layer83></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b>&nbsp;帐户锁定原则</span><span  id=Layer84>&nbsp;</b></font>控制在登入失败几次後将帐号锁定，以及锁定持续的时间长度。</span><span  id=Layer85></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b>&nbsp;稽核原则</span><span  id=Layer86>&nbsp;</b></font>控制每当使用者登入、每当存取到Active Directory，以及安全性原则变更时...等等是否要列入记录。</span><span  id=Layer87></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b>&nbsp;指派使用者权限</span><span  id=Layer88>&nbsp;</b></font>指明哪些使用者与哪一些群组拥有权限以执行不同的工作。这些工作包含变更系统时间、系统关机、备份、新增工作站到一个网域...等等。</span><span  id=Layer89></li><br></font><font size=2 face=arial color=#3c3c3c><li><font size=2 face=arial color=#3e80d7><b>&nbsp;安全性选项</span><span  id=Layer90>&nbsp;</b></font>允许你变更内建的Administrator与Guest帐号的名称，和许多其它的操作。</span><span  id=Layer91></li><br></font></ul></font><p><font size=2 color=#3c3c3c face=arial>许多安全设定可透过群组原则进行控制</span><span  id=Layer92></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>许多安全设定可透过群组原则进行控制</span><span  id=Layer93></font></p><hr><p><font size=2 color=#3c3c3c face=arial>为了要让这麽多的安全性设定动作变得简单，Windows 2000定义安全性范本（Security Template）的概念。安全性范本是一组事先定义的安全性设定，它可以包含上述的设定，与其它未讨论的设定。Windows 2000出货时附上一组标准的安全性范本，你可以编辑这个范本或使用Security Templates嵌入式管理单元来建立一个全新的范本。一旦定义完成後，安全性范本便可指派到特定的GPO。</span><span  id=Layer94></font></p><p><font size=2 color=#3c3c3c face=arial>安全性范本允许你马上设定许多安全性选项</span><span  id=Layer95></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>安全性范本允许你马上设定许多安全性选项</span><span  id=Layer96></font></p><hr><font color=#3e72d7 face=arial size=4><b>如何储存群组原则</span><span  id=Layer97></b></font><p><font size=2 color=#3c3c3c face=arial>在GPO中的所有资讯并非储存在同一个地方。GPO实际上是一个抽象的概念，如图2-19所示。在GPO中的原则设定若其资料量小，又不常变动，通常都是储存在某个群组原则容器（Group Policy Container）之下的Active Directory物件中。若资料量大，又经常变动时，则是储存在群组原则范本（Group Policy Template）中。每个群组原则范本是储存在网域控制主机上的目录中，而非储存在Active Directory资料库。这些资讯仍旧会进行复制，但和Active Directory不同的是，用来进行这个动作的机制较适合用来移动档案类型的资料，如群组原则范本。</span><span  id=Layer98></font></p><p><font size=2 color=#3c3c3c face=arial>在GPO中的资讯是储存在两个不同的地方</span><span  id=Layer99></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>在GPO中的资讯是储存在两个不同的地方</span><span  id=Layer100></font></p><hr><br><center><a target=_new href=imagesh/2-19.gif><img border=0 src='imagesl/2-19.gif'></a></center></span><span  id=Layer101><center><table border=0 ><td align=center><font color=#3c3c3c face=arial size=2><font size=2 face=arial color=#3e80d7><b>&nbsp;图2-19</span><span  id=Layer102>&nbsp;</b></font>在GPO中的资讯被切割了，并分别储存在网域控制主机的Active Directory资料库与档案系统中。</span><span  id=Layer103></td></table></font></center><font color=#3e72d7 face=arial size=4><b>马上套用多个原则</span><span  id=Layer104></b></font><p><font size=2 color=#3c3c3c face=arial>你可以想像，使用GPO很快地会变得复杂。假设定义在一个OU中的群组原则设定与定义在网域中的设定相互抵触时，谁会赢？答案就跟你最感兴趣的问题一样：不一定。若要判断对於某个特定的使用者或特定电脑的原则设定是否生效，所有与此使用者或电脑相关的GPO都必须套用。首先包含在本机GPO的原则设定会先套用，接下来套用的是关联到站台的GPO，然後是网域，最後才套用OU的原则设定。若定义在GPO中的设定有所抵触，预设最後将套用的GPO原则设定会赢。这代表的含意是，指定在网域等级的原则会覆盖掉指定在站台的原则，而指定在OU等级的原则会覆盖掉指定在站台或网域等级的原则。若关联到多个OU的多个GPO必须指派到同样的使用者或电脑，则预设最相近的OU会赢。这个次序看起来似乎是很直觉的，不过它被选择用来反应出大型公司组织中最常见的原则阶层。</span><span  id=Layer105></font></p><p><font size=2 color=#3c3c3c face=arial>套用到特定使用者或电脑的原则可以来自於多个GPO</span><span  id=Layer106></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>套用到特定使用者或电脑的原则可以来自於多个GPO</span><span  id=Layer107></font></p><hr><p><font size=2 color=#3c3c3c face=arial>当然，预设值是可以更改的。举例来说，你可以设定政策是不允许被覆盖的。假设一家公司决定在网域中的每个使用者，其密码都要达到特定的长度。这个原则可以定义在关联到网域（Domain）物件的GPO，然後设定没有任何的GPO可以覆盖这个原则。如果想要的话，也可以防碍原则的继承，因此定义在网域等级的原则就不会自动套用到网域中的其它OU。系统管理者也可以指定定义某些GPO中的原则只能够套用到某些特定的Windows 2000安全性群组上，允许你精确地控制哪些使用者或哪些电脑才会受影响。</span><span  id=Layer108></font></p><font color=#3e72d7 face=arial size=4><b>使用群组原则</span><span  id=Layer109></b></font><p><font size=2 color=#3c3c3c face=arial>在大型且复杂的网域中，系统管理者要如何选择使用哪些 GPO呢？一般来说，定义愈少的GPO愈好，因为管理需要许多的工夫。同样的，GPO需要花时间处理。如果每次电脑重新开机，或每当使用者登入时都需套用许多GPO，执行效能就会降低。因此，尽可能让事情愈简单愈好。</span><span  id=Layer110></font></p><p><font size=2 color=#3c3c3c face=arial>一般来说，GPO愈少愈好</span><span  id=Layer111></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>一般来说，GPO愈少愈好</span><span  id=Layer112></font></p><hr><p><font size=2 color=#3c3c3c face=arial>有一个很明确的解决方案，使用关联到网域的GPO，定义可套用到网域中所有使用者与电脑的原则。然後在网域中的每个OU定义这个OU专属的原则。若使用这个方式将GPO分层次，将可简化管理的动作，不过还是会降低执行效能，因为每当使用者登入或重新开机时要套用两个或更多个GPO。庞大的GPO（一个OU所需的每个原则都包含在此OU的GPO中）并不易管理，因为它们要复制的资讯可能存放在公用网域等级的GPO中，不过套用时的速度相当快。系统管理者需要考量环境进行适当的取舍。</span><span  id=Layer113></font></p><p><font size=2 color=#3c3c3c face=arial>群组原则是很简单的。不过它所带来的问题是无庸置疑地复杂。察看群组原则的其中一种方式便是得记得：小网域可能不需要完整的能力，因此可以减少它的复杂度。相形之下，大网域需要很大的弹性，也希望适当地开放必要的资源。天下没有不劳而获的事，复杂的问题势必需要复杂的解决方案。</span>
	</body></html>
12 下一页
💿 文件大小 13181 K
👤 上传用户 zyhunicom
📂 所属分类电子书籍
🏷️ 相关标签

#Windows #2000 #发展 #策略
⌨️ 快捷键说明

复制代码 Ctrl + C
搜索代码 Ctrl + F
全屏模式 F11
切换主题 Ctrl + Shift + D
显示快捷键 ?
增大字号 Ctrl + =
减小字号 Ctrl + -