■河南 劉進(jìn)京

利用組策略，可以通過Active Directory 提供的LDAP 和Kerberos 協(xié)議，來對(duì)這些對(duì)象進(jìn)行查詢和編輯操作。對(duì)于組策略來說，其主要掌管著域中的所有配置信息的編輯和分發(fā)大權(quán)。域管理員只要配置某個(gè)策略，就可以自動(dòng)批量的應(yīng)用到域中的目標(biāo)主機(jī)主機(jī)上。

如果管理員修改了某個(gè)組策略，客戶端也會(huì)定期去獲取和應(yīng)用該策略。當(dāng)配置了AD DS 域服務(wù)器后，系統(tǒng)會(huì)自動(dòng)創(chuàng)建名為“Default Domain Policy”和“Default Doamin Controllers Policy”兩個(gè)默認(rèn)的組策略對(duì)象。當(dāng)然，管理員可以根據(jù)需要來創(chuàng)建更多的組策略對(duì)象。對(duì)于組策略對(duì)象來說，其實(shí)際上包括組策略容器和組策略模版兩部分，前者的內(nèi)容存儲(chǔ)在活動(dòng)目錄數(shù)據(jù)庫(kù)中，記錄著組策略對(duì)象的屬性和版本等信息。

對(duì)于后者來說，負(fù)責(zé)存儲(chǔ)組策略對(duì)象的設(shè)置值和相關(guān)文件，其實(shí)際上是一個(gè)文件夾，默認(rèn)為“%systemroot%sysvolxxxpolicies”目錄，其中的“xxx”為具體的域名，系統(tǒng)使用組策略對(duì)象的GUID作為目錄的名稱。這樣，域中的所有任意計(jì)算機(jī)都可以對(duì)其進(jìn)行訪問。當(dāng)域?qū)ο蟾暮?，新的配置不?huì)立即對(duì)計(jì)算機(jī)和用戶生效，對(duì)于計(jì)算機(jī)配置項(xiàng)目來說，在計(jì)算機(jī)開機(jī)時(shí)會(huì)自動(dòng)應(yīng)用。對(duì)于域控來說，默認(rèn)每隔5 分鐘應(yīng)用一次。對(duì)于非域控來說，默認(rèn)每隔90 到120 分鐘應(yīng)用一次。

對(duì)于用戶配置策略來說，在用戶登錄時(shí)會(huì)自動(dòng)應(yīng)用。也可以默認(rèn)每隔90 到120分鐘應(yīng)用一次。對(duì)于上述兩類配置策略來說，無論策略是否更改，安全性配置策略都會(huì)默認(rèn)每隔16 小時(shí)應(yīng)用一次。當(dāng)然，客戶端執(zhí)行“gpupdate/force”命令，可以強(qiáng)制應(yīng)用組策略。對(duì)于Windows Server 2012 及其以上的系統(tǒng)來說，其組策略管理支持強(qiáng)制推動(dòng)組策略到客戶端主機(jī)。

例如，在Windows Server 2012 中打開服務(wù)器管理器，點(diǎn)擊菜單“工具”-“組策略管理”項(xiàng)，打開GPMC 組策略管理中心，便于管理員針對(duì)組策略進(jìn)行集中的創(chuàng)建、修改等操作。當(dāng)創(chuàng)建了組策略對(duì)象后，可以利用組策略編輯工具，對(duì)其進(jìn)行具體的編輯和設(shè)置操作。對(duì)于組策略的客戶端服務(wù)來說，可以在所有的客戶端上運(yùn)行，可以向域控的“%systemroot%sysvol”目錄查詢組策略設(shè)置的變動(dòng)信息，并將其應(yīng)用到本地計(jì)算機(jī)中。實(shí)現(xiàn)批量的分發(fā)和應(yīng)用的目的。

從組策略的總體運(yùn)作流程上看，組策略對(duì)象毫無疑問處于處于中心的位置，所有的操作幾乎都是圍繞著組策略對(duì)象進(jìn)行的。當(dāng)管理員創(chuàng)建了大量的額組策略對(duì)象后，對(duì)其進(jìn)行備份操作就顯得極為重要了。如果域控出現(xiàn)了故障，就可以利用備份快速恢復(fù)組策略對(duì)象。在GMPC控制臺(tái)左側(cè)選擇“組策略對(duì)象”項(xiàng)，在其右鍵菜單上點(diǎn)擊“全部備份”項(xiàng)，在打開窗口中點(diǎn)擊“瀏覽”按鈕，可以更改備份數(shù)據(jù)保存路徑，輸入描述信息后，點(diǎn)擊“備份”按鈕執(zhí)行備份操作。

這樣，雖然可以備份組策略對(duì)象。但是只能手工操作，無法實(shí)現(xiàn)自動(dòng)化的備份操作。其實(shí),利用PowerShell這一強(qiáng)大的工具，可以更加靈活的備份組策略對(duì)象。在PowerSHell中執(zhí)行“Get-Com mand Backup-GPO”命令，顯示和備份組策略相關(guān)的命令信息。為了便于使用，可以使用記事本創(chuàng)建名為“GPOBak.ps1”的文件，在其中輸入“$Date=(Get-Date)”行令，獲取當(dāng)前的時(shí)間信息。輸入“$BFPath=$D ate.Year.ToString()+$D ate.Month.ToString()+$D ate.Day.ToString()”行，將時(shí)間信息中的年月日數(shù)據(jù)提取出來，組成一個(gè)字符串，用來作為備份目錄的名稱。

輸入“$ BFPath="D：Gp odata"+""+$ BFPath+""”，“New-Item -Path$FolderPath -ItemType Directory”行，設(shè)置備份的具體路徑信息，這里在“D：Gpodata”目錄下創(chuàng)建上述以年月時(shí)命令的目錄，在其中存儲(chǔ)組策略備份信息。輸入“Backup-GPO -All-Path”行，執(zhí)行具體的備份操作。為了實(shí)現(xiàn)自動(dòng)備份操作，可以利用計(jì)劃任務(wù)來實(shí)現(xiàn)。在PowerShell中已經(jīng)提供了管理計(jì)劃任務(wù)的命令，在PowerShell中執(zhí)行“$trigger= New-ScheduledTaskTrigger-Daily -At 1am”命令，創(chuàng)建一個(gè)觸發(fā)器，在每天的凌晨1點(diǎn)執(zhí)行。

執(zhí)行“$action=New-ScheduledTaskAction -Exec ute 'Powershell.exe' ` -A rgument 'd：psfilegpobac k.ps1'”命令，創(chuàng)建一個(gè)新的動(dòng)作，利用Powershell執(zhí)行上述名為“gpoback.ps1”的腳本文件，假設(shè)其保存在“d：psfile”目錄中。執(zhí)行“Register-ScheduledTask-Action $action -Trigger$trigger -TaskName"beifenzucelue" -Descript ion "每天備份組策略信息"”命令，使用上述觸發(fā)器和動(dòng)作參數(shù)，創(chuàng)建名為“BackupGpos”的計(jì)劃任務(wù)，其描述信息為“每天備份組策略信息”。

這樣，當(dāng)每天到達(dá)預(yù)設(shè)的時(shí)間后，就可以執(zhí)行上述腳本，來備份組策略對(duì)象了。當(dāng)創(chuàng)建了多個(gè)組策略備份項(xiàng)目后，可以在GMPC控制臺(tái)左側(cè)選擇“組策略對(duì)象”項(xiàng)，在其右鍵菜單上點(diǎn)擊“管理備份”項(xiàng)，在打開窗口中點(diǎn)擊“瀏覽”按鈕，選擇上述備份路徑，列出其中的GPO備份信息。選擇具體的備份對(duì)象，點(diǎn)擊“查看設(shè)置”按鈕，會(huì)在瀏覽器中顯示其詳細(xì)的配置信息。點(diǎn)擊“還原”按鈕，在彈出的提示窗口中點(diǎn)擊“確定”按鈕，即可執(zhí)行組策略對(duì)象的還原操作。