Windows server 2003組策略運(yùn)行機(jī)制分析研究

李德水，陳 聰

（渭南師范學(xué)院 數(shù)學(xué)與信息科學(xué)學(xué)院，陜西 渭南 714000）

組策略是Win2003操作系統(tǒng)提供的一種在域模式下，用來(lái)大批量控制域內(nèi)計(jì)算機(jī)和用戶(hù)的工作環(huán)境配置管理技術(shù)，可以提供應(yīng)用程序部署、系統(tǒng)及安全設(shè)置、遠(yuǎn)程安裝服務(wù)、腳本、IE管理、文件夾重定向、QoS包計(jì)劃、磁盤(pán)配額、無(wú)線網(wǎng)絡(luò)策略和基于組策略的管理模板配置[1]。為Windows Server 2003及2008網(wǎng)絡(luò)工程師配置和管理Windows網(wǎng)絡(luò)提供了非常便利的手段，文中就AD域環(huán)境中組策略的運(yùn)行機(jī)制做一詳細(xì)分析研究，探究組策略的工作原理，幫助管理員正確應(yīng)用、管理及維護(hù)組策略，提高工作效率。

1 組策略的體系結(jié)構(gòu)

組策略運(yùn)行由3部分組成，服務(wù)器端、組策略管理工具、客戶(hù)端[2]。服務(wù)器端：活動(dòng)目錄、Sysvol文件夾，用來(lái)存儲(chǔ)組策略對(duì)象，并通過(guò)目錄服務(wù)為域用戶(hù)和計(jì)算機(jī)提供組策略對(duì)象的查找定位并下載到客戶(hù)端；組策略管理工具：服務(wù)器內(nèi)嵌的組策略對(duì)象編輯器（Group Policy Object Editor）或組策略管理控制臺(tái)工具（GPMC）則用來(lái)建立、編輯、管理維護(hù)組策略對(duì)象，通過(guò)RSoP可以查看各組策略對(duì)象運(yùn)行的結(jié)果集，供管理員調(diào)試；客戶(hù)端：WinLogon、注冊(cè)表、本地組策略對(duì)象、組策略引擎、客戶(hù)端擴(kuò)展（CSE，Client-Side Extensions）等，通過(guò)組策略引擎和域控制器DC查找應(yīng)用于該計(jì)算機(jī)及用戶(hù)的所有組策略對(duì)象，下載組策略模板文件并調(diào)用相應(yīng)的客戶(hù)端擴(kuò)展組件并按照組策略對(duì)象的優(yōu)先級(jí)順序執(zhí)行各項(xiàng)策略設(shè)置，從而影響客戶(hù)端計(jì)算機(jī)或用戶(hù)的文件系統(tǒng)，注冊(cè)表、事件日志和本地組策略對(duì)象。

以上3部分，相互協(xié)作，共同完成組策略的編輯、關(guān)聯(lián)、分發(fā)與執(zhí)行，通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)了管理大范圍計(jì)算機(jī)及用戶(hù)的工作，提高了管理效率。組策略的體系結(jié)構(gòu)[2]如圖1所示。

2 組策略對(duì)象GPO的結(jié)構(gòu)

2.1 組策略對(duì)象GPO

在windows server 2003中，組策略用組策略對(duì)象GPO（Group Policy Object）來(lái)表示，并與站點(diǎn)、域、組織單元相鏈接，從而作用于域用戶(hù)和計(jì)算機(jī)。組策略GPO是一個(gè)域級(jí)別的虛對(duì)象，底層結(jié)構(gòu)包含組策略容器GPC（Group Policy Container）和組策略模板 GPT（Group Policy Template）兩個(gè)部分，GPC存于域中的每個(gè)DC中，包含每個(gè)GPO的基本信息；GPT則包含組策略的具體數(shù)據(jù)，保存于SysvolSysvol域名Policies子文件夾中，供用戶(hù)和計(jì)算機(jī)下載使用。兩者之間通過(guò)組策略對(duì)象的GUID保持關(guān)聯(lián)，GPC存于AD目錄結(jié)構(gòu)中，通過(guò)AD復(fù)制引擎復(fù)制到當(dāng)前域的所有DC中，而GPT存于Sysvol共享文件夾中，并通過(guò)文件復(fù)制服務(wù)（FRS）復(fù)制到當(dāng)前域的所有DC中，使DC中保持一致[3]。

圖1 組策略的體系結(jié)構(gòu)Fig.1 The group policy system architecture

2.2 組策略模板GPT

GPT是實(shí)現(xiàn)了一系列組策略設(shè)置的指令集，包含具體組策略的相關(guān)設(shè)置參數(shù)，以文件的形式，存放在Sysvol共享文件夾中?？蛻?hù)端下載GPT文件后，按照文件指令進(jìn)行相應(yīng)的操作和設(shè)置。GPT的版本號(hào)存儲(chǔ)在Gpt.ini文件中，用于與GPC保持同步[4]。

2.3 組策略容器GPC

GPC是一個(gè)目錄服務(wù)對(duì)象，主要包含有如下重要屬性：versionNumber：版本號(hào)屬性的主要目的是為了確保GPC與GPT信息保持同步。gPCFileSysPath：提供客戶(hù)端查找和定位對(duì)應(yīng)組策略模板文件的路徑。gPCMachineExtensionNames：指定客戶(hù)端處理計(jì)算機(jī)策略GPT文件時(shí)需要使用的客戶(hù)端擴(kuò)展的ClassID。gPCUserExtensionNames：指定客戶(hù)端處理用戶(hù)策略GPT文件時(shí)需要使用的客戶(hù)端擴(kuò)展的ClassID。gPCWQLFilter：指定應(yīng)用于組策略對(duì)象的任何WMI篩選器。GPC對(duì)象存儲(chǔ)在AD數(shù)據(jù)庫(kù)Domain分區(qū)中，通過(guò)目錄服務(wù)提供GPC屬性，主要的基本屬性有：distinguishedName， whenCreeated，whenChanged，displayName，objectGUID，versionNumber，gPCFunctionalityVersion，gPCFileSysPath，gPCMachineExtensionNames，gPCUserEXtensionNames， 客 戶(hù) 端根據(jù)GPC中的objectGUID與GPT的GPO的GUID保持關(guān)聯(lián)，客戶(hù)端再由GPC中的gPCFileSysPath定位到sysvol文件夾并查找對(duì)應(yīng)的組策略模板文件：指示客戶(hù)機(jī)下載組策略模板文件，從而執(zhí)行用戶(hù)和計(jì)算機(jī)配置。

3 組策略工作流程

組策略工作流程分為服務(wù)器和客戶(hù)端兩部分。

3.1 客戶(hù)端工作流程

1）客戶(hù)機(jī)啟動(dòng)，執(zhí)行本地安全策略。2）客戶(hù)機(jī)連接到網(wǎng)絡(luò)，查詢(xún)DC獲取要應(yīng)用的GPO列表。3）客戶(hù)機(jī)根據(jù)GPO列表連接到Sysvol文件夾定位對(duì)應(yīng)的組策略模板。4）客戶(hù)機(jī)根據(jù)組策略模板中信息執(zhí)行相應(yīng)的操作。5）計(jì)算機(jī)策略執(zhí)行完成后，出現(xiàn)登錄界面，用戶(hù)登錄。6）用戶(hù)驗(yàn)證通過(guò)后，用戶(hù)查詢(xún)DC獲取要應(yīng)用的用戶(hù)GPO列表。客戶(hù)機(jī)根據(jù)GPO列表，定位到相對(duì)應(yīng)的組策略模板文件，通過(guò)比較緩存的GPO版本號(hào)與GPT中版本號(hào)，確定該組策略是否已經(jīng)更新，如果組策略已經(jīng)更新，下載GPT文件，依據(jù)GPO對(duì)象調(diào)用客戶(hù)端擴(kuò)展（一組動(dòng)態(tài)鏈接庫(kù)），執(zhí)行相應(yīng)的操作和設(shè)置[5]。

在Windows系統(tǒng)共有11種功能（CSE客戶(hù)端擴(kuò)展）可以由組策略來(lái)管理，每個(gè)功能都有一個(gè)相應(yīng)的服務(wù)在客戶(hù)端運(yùn)行，服務(wù)負(fù)責(zé)處理相應(yīng)的組策略。這些動(dòng)態(tài)鏈接庫(kù)以dll的方式存在，在客戶(hù)機(jī)啟動(dòng)時(shí)，由winlogon服務(wù)動(dòng)態(tài)加載。圖2中每一項(xiàng)代表一個(gè)具體的服務(wù)，以ClassID來(lái)標(biāo)識(shí)，與GPC中g(shù)PCMachineExtensionNames/gPCUserExtensionNames保持一致?？蛻?hù)機(jī)執(zhí)行某一個(gè)GPO時(shí)，由GPC的PCMachineExtensionNames/gPCUserExtensionNames屬性定位出該組策略具體由哪一個(gè)CSE來(lái)執(zhí)行。每個(gè)CSE擴(kuò)展知道如何正確處理所對(duì)應(yīng)的組策略設(shè)置。客戶(hù)端組策略執(zhí)行框架[2]如圖2所示。

圖2 客戶(hù)端組策略執(zhí)行框架Fig.2 Client group policy implementation framework

3.2 服務(wù)器端組策略工作過(guò)程

組策略是建立在域模式下，通過(guò)活動(dòng)目錄服務(wù)為域內(nèi)計(jì)算機(jī)和用戶(hù)提供服務(wù)，所以，服務(wù)器端首先要根據(jù)企業(yè)業(yè)務(wù)需求，正確規(guī)劃配置好活動(dòng)目錄層次的結(jié)構(gòu)，關(guān)鍵是依據(jù)業(yè)務(wù)邏輯建立各組織單元，并把相應(yīng)的計(jì)算機(jī)和用戶(hù)劃歸到各組織單元，并配置好DNS服務(wù)，保證各資源記錄正常工作；其次，網(wǎng)絡(luò)管理員根據(jù)企業(yè)網(wǎng)絡(luò)需求及管理要求，針對(duì)不同組織單元的共組需求及管理特性。通過(guò)組策略對(duì)象編輯器或組策略對(duì)象管理控制臺(tái)（GPMC）建立、編輯各種組策略對(duì)象，并關(guān)聯(lián)到相應(yīng)的站點(diǎn)、域或者組織單元上，其結(jié)果自動(dòng)存儲(chǔ)于活動(dòng)目錄及Sysvol/policies文件夾下。第三，通過(guò)RSoP工具查看各組策略的執(zhí)行效果，根據(jù)實(shí)際需求，調(diào)試相應(yīng)的組策略對(duì)象，使其達(dá)到要求的效果。第四，把正確的、符合要求的組策略對(duì)象應(yīng)用到真實(shí)的網(wǎng)絡(luò)環(huán)境中[5]。在服務(wù)器端，當(dāng)客戶(hù)計(jì)算機(jī)在登錄到域時(shí)，通過(guò)DNS能夠定位到域控制器上的相關(guān)服務(wù)，正確獲得該計(jì)算機(jī)和用戶(hù)所屬組織單元應(yīng)用的各個(gè)組策略對(duì)象的GPC，再通過(guò)其相關(guān)屬性，找到位于SYSVOL文件夾中的GPT模板文件，供客戶(hù)計(jì)算機(jī)下載應(yīng)用。位于主域控制器各組策略對(duì)象的 GPC通過(guò)AD復(fù)制引擎復(fù)制到當(dāng)前域的所有DC中，而相應(yīng)的GPT也通過(guò)文件復(fù)制服務(wù)（FRS）復(fù)制到當(dāng)前域的所有DC中，使DC中保持一致。

4 結(jié)束語(yǔ)

組策略是Windows server 2003的核心，熟練掌握組策略的配置是一個(gè)Windows server網(wǎng)絡(luò)工程師的基本素質(zhì)，而掌握組策略的體系結(jié)構(gòu)，熟悉其工作過(guò)程又是網(wǎng)絡(luò)工程師的靈活掌握組策略的關(guān)鍵。通過(guò)對(duì)Windows server 2003組策略體系結(jié)構(gòu)，結(jié)合活動(dòng)目錄及DNS提供的服務(wù)，對(duì)組策略對(duì)象的結(jié)構(gòu)、屬性和客戶(hù)端和服務(wù)器端的工作過(guò)程的分析，組策略工作原理是有章可循的，并不是想象的那么復(fù)雜。只要掌握了組策略的運(yùn)行機(jī)制，網(wǎng)絡(luò)管理員根據(jù)企業(yè)網(wǎng)的功能需求，在建立好合適的活動(dòng)目錄結(jié)構(gòu)及DNS服務(wù)的情況下，編輯維護(hù)多個(gè)組策略對(duì)象，正確應(yīng)用到域、組織單元，完成企業(yè)大量計(jì)算機(jī)和用戶(hù)的統(tǒng)一管理和配置，并能夠快速排除組策略故障[6]。

[1]吳怡.計(jì)算機(jī)網(wǎng)絡(luò)配置、管理與應(yīng)用[M].2版.北京.高等教育出版社，2009.

[2]Windows Server技術(shù)中心.Group Policy Collection.[EB/OL]http://technet.microsoft.com/zh-tw/library/cc779838.aspx.

[3]黃鎮(zhèn)建，蔡群英.基于活動(dòng)目錄和組策略的機(jī)房智能化管理[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2010（2）：174-177.HUANG Zhen-jian，CAI Qun-ying.Intelligent management of public computer lab based on active directory and group policy[J].Experiment Science and Technology，2010 （2）：174-177.

[4]唐燈平.應(yīng)用組策略部署和管理軟件[J].計(jì)算機(jī)安全，2010（4）：42-44 TANG Deng-ping.Application of group policy to deploy and manage software[J].Computer Security，2010（4）：42-44.

[5]李磊.Windows Serve 2003組策略在錢(qián)江晚報(bào)超級(jí)信息港中的應(yīng)用[J].計(jì)算機(jī)時(shí)代，2009（6）：29-31.LI Lei.Windows Serve 2003 group policy in the application of QianJiang evening news paper[J].Computer Era，2009（6）：29-31.

[6]姜雷.淺談Windows server 2003網(wǎng)絡(luò)安全策略的制定和實(shí)施[J].科技創(chuàng)新導(dǎo)報(bào)，2008（6）：14-16.JIANG Lei.On the Windows server 2003 network security strategy formulation and implementation[J].Science and Technology Innovation Herald，2008（6）：14-16.