李德水,陳 聰
(渭南師范學(xué)院 數(shù)學(xué)與信息科學(xué)學(xué)院,陜西 渭南 714000)
組策略是Win2003操作系統(tǒng)提供的一種在域模式下,用來(lái)大批量控制域內(nèi)計(jì)算機(jī)和用戶(hù)的工作環(huán)境配置管理技術(shù),可以提供應(yīng)用程序部署、系統(tǒng)及安全設(shè)置、遠(yuǎn)程安裝服務(wù)、腳本、IE管理、文件夾重定向、QoS包計(jì)劃、磁盤(pán)配額、無(wú)線網(wǎng)絡(luò)策略和基于組策略的管理模板配置[1]。為Windows Server 2003及2008網(wǎng)絡(luò)工程師配置和管理Windows網(wǎng)絡(luò)提供了非常便利的手段,文中就AD域環(huán)境中組策略的運(yùn)行機(jī)制做一詳細(xì)分析研究,探究組策略的工作原理,幫助管理員正確應(yīng)用、管理及維護(hù)組策略,提高工作效率。
組策略運(yùn)行由3部分組成,服務(wù)器端、組策略管理工具、客戶(hù)端[2]。服務(wù)器端:活動(dòng)目錄、Sysvol文件夾,用來(lái)存儲(chǔ)組策略對(duì)象,并通過(guò)目錄服務(wù)為域用戶(hù)和計(jì)算機(jī)提供組策略對(duì)象的查找定位并下載到客戶(hù)端;組策略管理工具:服務(wù)器內(nèi)嵌的組策略對(duì)象編輯器(Group Policy Object Editor)或組策略管理控制臺(tái)工具(GPMC)則用來(lái)建立、編輯、管理維護(hù)組策略對(duì)象,通過(guò)RSoP可以查看各組策略對(duì)象運(yùn)行的結(jié)果集,供管理員調(diào)試;客戶(hù)端:WinLogon、注冊(cè)表、本地組策略對(duì)象、組策略引擎、客戶(hù)端擴(kuò)展(CSE,Client-Side Extensions)等,通過(guò)組策略引擎和域控制器DC查找應(yīng)用于該計(jì)算機(jī)及用戶(hù)的所有組策略對(duì)象,下載組策略模板文件并調(diào)用相應(yīng)的客戶(hù)端擴(kuò)展組件并按照組策略對(duì)象的優(yōu)先級(jí)順序執(zhí)行各項(xiàng)策略設(shè)置,從而影響客戶(hù)端計(jì)算機(jī)或用戶(hù)的文件系統(tǒng),注冊(cè)表、事件日志和本地組策略對(duì)象。
以上3部分,相互協(xié)作,共同完成組策略的編輯、關(guān)聯(lián)、分發(fā)與執(zhí)行,通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)了管理大范圍計(jì)算機(jī)及用戶(hù)的工作,提高了管理效率。組策略的體系結(jié)構(gòu)[2]如圖1所示。
在windows server 2003中,組策略用組策略對(duì)象GPO(Group Policy Object)來(lái)表示,并與站點(diǎn)、域、組織單元相鏈接,從而作用于域用戶(hù)和計(jì)算機(jī)。組策略GPO是一個(gè)域級(jí)別的虛對(duì)象,底層結(jié)構(gòu)包含組策略容器GPC(Group Policy Container)和組策略模板 GPT(Group Policy Template)兩個(gè)部分,GPC存于域中的每個(gè)DC中,包含每個(gè)GPO的基本信息;GPT則包含組策略的具體數(shù)據(jù),保存于SysvolSysvol域名Policies子文件夾中,供用戶(hù)和計(jì)算機(jī)下載使用。兩者之間通過(guò)組策略對(duì)象的GUID保持關(guān)聯(lián),GPC存于AD目錄結(jié)構(gòu)中,通過(guò)AD復(fù)制引擎復(fù)制到當(dāng)前域的所有DC中,而GPT存于Sysvol共享文件夾中,并通過(guò)文件復(fù)制服務(wù)(FRS)復(fù)制到當(dāng)前域的所有DC中,使DC中保持一致[3]。
圖1 組策略的體系結(jié)構(gòu)Fig.1 The group policy system architecture
GPT是實(shí)現(xiàn)了一系列組策略設(shè)置的指令集,包含具體組策略的相關(guān)設(shè)置參數(shù),以文件的形式,存放在Sysvol共享文件夾中??蛻?hù)端下載GPT文件后,按照文件指令進(jìn)行相應(yīng)的操作和設(shè)置。GPT的版本號(hào)存儲(chǔ)在Gpt.ini文件中,用于與GPC保持同步[4]。
GPC是一個(gè)目錄服務(wù)對(duì)象,主要包含有如下重要屬性:versionNumber:版本號(hào)屬性的主要目的是為了確保GPC與GPT信息保持同步。gPCFileSysPath:提供客戶(hù)端查找和定位對(duì)應(yīng)組策略模板文件的路徑。gPCMachineExtensionNames:指定客戶(hù)端處理計(jì)算機(jī)策略GPT文件時(shí)需要使用的客戶(hù)端擴(kuò)展的ClassID。gPCUserExtensionNames:指定客戶(hù)端處理用戶(hù)策略GPT文件時(shí)需要使用的客戶(hù)端擴(kuò)展的ClassID。gPCWQLFilter:指定應(yīng)用于組策略對(duì)象的任何WMI篩選器。GPC對(duì)象存儲(chǔ)在AD數(shù)據(jù)庫(kù)Domain分區(qū)中,通過(guò)目錄服務(wù)提供GPC屬性,主要的基本屬性有:distinguishedName, whenCreeated,whenChanged,displayName,objectGUID,versionNumber,gPCFunctionalityVersion,gPCFileSysPath,gPCMachineExtensionNames,gPCUserEXtensionNames, 客 戶(hù) 端根據(jù)GPC中的objectGUID與GPT的GPO的GUID保持關(guān)聯(lián),客戶(hù)端再由GPC中的gPCFileSysPath定位到sysvol文件夾并查找對(duì)應(yīng)的組策略模板文件:指示客戶(hù)機(jī)下載組策略模板文件,從而執(zhí)行用戶(hù)和計(jì)算機(jī)配置。
組策略工作流程分為服務(wù)器和客戶(hù)端兩部分。
1)客戶(hù)機(jī)啟動(dòng),執(zhí)行本地安全策略。2)客戶(hù)機(jī)連接到網(wǎng)絡(luò),查詢(xún)DC獲取要應(yīng)用的GPO列表。3)客戶(hù)機(jī)根據(jù)GPO列表連接到Sysvol文件夾定位對(duì)應(yīng)的組策略模板。4)客戶(hù)機(jī)根據(jù)組策略模板中信息執(zhí)行相應(yīng)的操作。5)計(jì)算機(jī)策略執(zhí)行完成后,出現(xiàn)登錄界面,用戶(hù)登錄。6)用戶(hù)驗(yàn)證通過(guò)后,用戶(hù)查詢(xún)DC獲取要應(yīng)用的用戶(hù)GPO列表。客戶(hù)機(jī)根據(jù)GPO列表,定位到相對(duì)應(yīng)的組策略模板文件,通過(guò)比較緩存的GPO版本號(hào)與GPT中版本號(hào),確定該組策略是否已經(jīng)更新,如果組策略已經(jīng)更新,下載GPT文件,依據(jù)GPO對(duì)象調(diào)用客戶(hù)端擴(kuò)展(一組動(dòng)態(tài)鏈接庫(kù)),執(zhí)行相應(yīng)的操作和設(shè)置[5]。
在Windows系統(tǒng)共有11種功能(CSE客戶(hù)端擴(kuò)展)可以由組策略來(lái)管理,每個(gè)功能都有一個(gè)相應(yīng)的服務(wù)在客戶(hù)端運(yùn)行,服務(wù)負(fù)責(zé)處理相應(yīng)的組策略。這些動(dòng)態(tài)鏈接庫(kù)以dll的方式存在,在客戶(hù)機(jī)啟動(dòng)時(shí),由winlogon服務(wù)動(dòng)態(tài)加載。圖2中每一項(xiàng)代表一個(gè)具體的服務(wù),以ClassID來(lái)標(biāo)識(shí),與GPC中g(shù)PCMachineExtensionNames/gPCUserExtensionNames保持一致??蛻?hù)機(jī)執(zhí)行某一個(gè)GPO時(shí),由GPC的PCMachineExtensionNames/gPCUserExtensionNames屬性定位出該組策略具體由哪一個(gè)CSE來(lái)執(zhí)行。每個(gè)CSE擴(kuò)展知道如何正確處理所對(duì)應(yīng)的組策略設(shè)置。客戶(hù)端組策略執(zhí)行框架[2]如圖2所示。
圖2 客戶(hù)端組策略執(zhí)行框架Fig.2 Client group policy implementation framework
組策略是建立在域模式下,通過(guò)活動(dòng)目錄服務(wù)為域內(nèi)計(jì)算機(jī)和用戶(hù)提供服務(wù),所以,服務(wù)器端首先要根據(jù)企業(yè)業(yè)務(wù)需求,正確規(guī)劃配置好活動(dòng)目錄層次的結(jié)構(gòu),關(guān)鍵是依據(jù)業(yè)務(wù)邏輯建立各組織單元,并把相應(yīng)的計(jì)算機(jī)和用戶(hù)劃歸到各組織單元,并配置好DNS服務(wù),保證各資源記錄正常工作;其次,網(wǎng)絡(luò)管理員根據(jù)企業(yè)網(wǎng)絡(luò)需求及管理要求,針對(duì)不同組織單元的共組需求及管理特性。通過(guò)組策略對(duì)象編輯器或組策略對(duì)象管理控制臺(tái)(GPMC)建立、編輯各種組策略對(duì)象,并關(guān)聯(lián)到相應(yīng)的站點(diǎn)、域或者組織單元上,其結(jié)果自動(dòng)存儲(chǔ)于活動(dòng)目錄及Sysvol/policies文件夾下。第三,通過(guò)RSoP工具查看各組策略的執(zhí)行效果,根據(jù)實(shí)際需求,調(diào)試相應(yīng)的組策略對(duì)象,使其達(dá)到要求的效果。第四,把正確的、符合要求的組策略對(duì)象應(yīng)用到真實(shí)的網(wǎng)絡(luò)環(huán)境中[5]。在服務(wù)器端,當(dāng)客戶(hù)計(jì)算機(jī)在登錄到域時(shí),通過(guò)DNS能夠定位到域控制器上的相關(guān)服務(wù),正確獲得該計(jì)算機(jī)和用戶(hù)所屬組織單元應(yīng)用的各個(gè)組策略對(duì)象的GPC,再通過(guò)其相關(guān)屬性,找到位于SYSVOL文件夾中的GPT模板文件,供客戶(hù)計(jì)算機(jī)下載應(yīng)用。位于主域控制器各組策略對(duì)象的 GPC通過(guò)AD復(fù)制引擎復(fù)制到當(dāng)前域的所有DC中,而相應(yīng)的GPT也通過(guò)文件復(fù)制服務(wù)(FRS)復(fù)制到當(dāng)前域的所有DC中,使DC中保持一致。
組策略是Windows server 2003的核心,熟練掌握組策略的配置是一個(gè)Windows server網(wǎng)絡(luò)工程師的基本素質(zhì),而掌握組策略的體系結(jié)構(gòu),熟悉其工作過(guò)程又是網(wǎng)絡(luò)工程師的靈活掌握組策略的關(guān)鍵。通過(guò)對(duì)Windows server 2003組策略體系結(jié)構(gòu),結(jié)合活動(dòng)目錄及DNS提供的服務(wù),對(duì)組策略對(duì)象的結(jié)構(gòu)、屬性和客戶(hù)端和服務(wù)器端的工作過(guò)程的分析,組策略工作原理是有章可循的,并不是想象的那么復(fù)雜。只要掌握了組策略的運(yùn)行機(jī)制,網(wǎng)絡(luò)管理員根據(jù)企業(yè)網(wǎng)的功能需求,在建立好合適的活動(dòng)目錄結(jié)構(gòu)及DNS服務(wù)的情況下,編輯維護(hù)多個(gè)組策略對(duì)象,正確應(yīng)用到域、組織單元,完成企業(yè)大量計(jì)算機(jī)和用戶(hù)的統(tǒng)一管理和配置,并能夠快速排除組策略故障[6]。
[1]吳怡.計(jì)算機(jī)網(wǎng)絡(luò)配置、管理與應(yīng)用[M].2版.北京.高等教育出版社,2009.
[2]Windows Server技術(shù)中心.Group Policy Collection.[EB/OL]http://technet.microsoft.com/zh-tw/library/cc779838.aspx.
[3]黃鎮(zhèn)建,蔡群英.基于活動(dòng)目錄和組策略的機(jī)房智能化管理[J].實(shí)驗(yàn)科學(xué)與技術(shù),2010(2):174-177.HUANG Zhen-jian,CAI Qun-ying.Intelligent management of public computer lab based on active directory and group policy[J].Experiment Science and Technology,2010 (2):174-177.
[4]唐燈平.應(yīng)用組策略部署和管理軟件[J].計(jì)算機(jī)安全,2010(4):42-44 TANG Deng-ping.Application of group policy to deploy and manage software[J].Computer Security,2010(4):42-44.
[5]李磊.Windows Serve 2003組策略在錢(qián)江晚報(bào)超級(jí)信息港中的應(yīng)用[J].計(jì)算機(jī)時(shí)代,2009(6):29-31.LI Lei.Windows Serve 2003 group policy in the application of QianJiang evening news paper[J].Computer Era,2009(6):29-31.
[6]姜雷.淺談Windows server 2003網(wǎng)絡(luò)安全策略的制定和實(shí)施[J].科技創(chuàng)新導(dǎo)報(bào),2008(6):14-16.JIANG Lei.On the Windows server 2003 network security strategy formulation and implementation[J].Science and Technology Innovation Herald,2008(6):14-16.