在Windows 2000域中是如何分析Win XP組策略的呢？下文給出了詳細的描述。

組策略是在Windows 2000/XP域中用于控制用戶和計算機桌面環(huán)境的基于活動目錄的機制，針對安全、軟件安裝記憶腳本的設置都可以通過組策略進行。組策略可以根據(jù)對象在活動目錄中的位置而應用于用戶組或者計算機。

組策略的設置存儲在域控制器的GPO（Group Policy objects，組策略對象）中，GPO連接到活動目錄結構的各種容器（站點、域以及OU）中。因為組策略與活動目錄的集成非常緊密，因此在實施組策略前對活動目錄結構與安全有一個基本認識是很有必要的。

組策略是保證Windows XP安全的基本工具，它可以被用來應用和維持網(wǎng)絡中所有計算機的策略配置的一致性。

概述

Windows XP組策略中引進了以前沒有包括在Windows 2000中的新特性，然而Windows 2000域控制器同樣可以通過活動目錄給Windows XP客戶端發(fā)布組策略設置。

為了使用Windows XP中所有新特性，GPO必須在運行Windows XP的計算機上編輯。管理員還可以在Windows 2000域控制器上進行后期的GPO管理（把GPO鏈接到域或者OU）。如果GPO被應用到同時包含Windows XP和Windows 2000客戶端的域，Windows 2000將會忽略僅針對Windows XP的新設置，而僅應用可以被Windows 2000應用的設置，Windows XP計算機則會應用所有的設置。在將GPO應用到Windows 2000域之前請參閱Guide to Securing Microsoft Windows 2000 Group Policy。同時，還可以參閱“Upgrading Windows 2000 Group Policy for Windows XP”：http：//support.microsoft.com/support/kb/articles/Q307/9/00.asp

安全設置擴展

從一篇安全報告可以知道，安全設置擴展是組策略中最重要的部分之一。很多與安全相關的設置都是在安全設置中進行的，安全設置允許管理員鞏固很多與安全相關的對象，并通過組策略和活動目錄把它們應用到任意一臺運行著Windows XP的計算機。

安全設置擴展位于GPO的計算機配置\Windows設置\安全設置的路徑下，并可以通過MMC的組策略組件訪問。安全設置是針對計算機的，而不是專門針對某個用戶，同時也包括了安全模板中所有的安全區(qū)域（例如賬戶策略、本地策略等），除此之外還有活動目錄的公鑰策略以及IP安全策略。

創(chuàng)建 Windows XP GPO

Windows XP GPO必須在運行Windows XP的機器上編輯，要打開或創(chuàng)建一個GPO，可以在一個已經(jīng)加入了域的運行Windows XP的計算機上進行如下操作：

運行微軟管理控制臺（mmc.exe）

選擇控制臺- 添加/刪除組件

點擊添加

選擇組策略

點擊添加

出現(xiàn)一個選擇組策略對象窗口，在組策略對象選項下，默認會顯示本地計算機，要編輯GPO，點擊瀏覽按鈕在域中，定為到要應用GPO的容器，容器顯示后，選擇一個已經(jīng)存在的GPO或者點擊窗口頂端的第二個按鈕新建一個GPO，然后選中這個GPO

點擊確定

點擊關閉

點擊確定

導入安全模板到GPO中

要把已存在的安全模板導入到Windows XP GPO，可進行如下操作：

在組策略組件中，定位到計算機配置\Windows設置\安全設置

在導入模板前展開安全設置節(jié)點，圖12顯示了展開后的安全設置擴展

圖 12

警告：根據(jù)MMC中的一個Bug，在導入模板前展開安全設置節(jié)點時發(fā)生的錯誤有可能導致模板載入的錯誤。

右鍵點擊安全設置

從彈出菜單選擇導入策略

導入策略自窗口中將會顯示%SystemRoot%\security\templates文件夾中的所有模板，從這個文件夾中選擇一個模板或者通過瀏覽功能查找其它合適的模板。

點擊打開

被選中的模板中的設置已經(jīng)被導入到了安全選項節(jié)點，現(xiàn)在你可以通過安全設置樹查看和修改這些設置。

警告：為了讓一個新的GPO能夠被正確應用，你必須首先注冊這一改變，簡單地把模板導入到新的GPO并不能起到這個作用，哪怕關閉組策略組件中的GPO然后稍等片刻重新打開它的時候系統(tǒng)會報告說導入的安全設置已經(jīng)被保存。組策略被刷新后GPO將會被清空而不是被應用。要注冊一個改變，在載入安全模板后編輯GPO中的任意一個設置，哪怕你隨便更改一個設置后重新又把設置該回來。

在Windows 2000 域控制器上管理Windows XP GPO

在早期的規(guī)定中，一旦Windows XP GPO在運行Windows XP的計算機上被編輯過后，后期的GPO管理（例如鏈接GPO到域或者OU）就可以在Windows 2000域控制器上進行了。

當使用Windows 2000域控制器查看Windows XP GPO時，如果Windows XP獨有的用戶或用戶組（例如LOCAL SERVICE、NETWORK SERVICE）顯示在一個文件或者注冊表的權限設置中時，當定位到計算機配置\Windows設置\安全設置節(jié)點就可能引起“Windows無法打開模板文件”的錯誤信息。不過就算這些安全設置無法在Windows 2000下查看，GPO仍然可以被正確應用。

本地組策略對象

每臺計算機無論是不是域成員都有本地組策略，本地組策略是***個被應用的策略。雖然任何后期的組策略都可能覆蓋本地策略的設置，不過只要是在本地組策略中設定并沒有在其他策略中設定的策略都將被保留。因此本地策略和活動目錄組策略的配置一致是很重要的。

本地組策略對象（Local GPO）被保存在 %SystemRoot%\System32\Group Policy，可以通過組策略組件中的選擇遠程計算機或者在管理工具菜單下選擇本地安全策略來訪問和查看。

LGPO并不是包括了活動目錄組策略的全部設置，舉例來說，在安全設置節(jié)點下，只有賬戶策略和本地策略可用，因此如果一個安全模板被導入本地策略，實際上就只有在本地策略中可用的部分被真正導入了。其他的設置，例如注冊表和文件權限可以通過安全配置和分析組件應用到本地。

強制組策略更新

組策略會通過活動目錄周期性的被更新，默認的設置會每90分鐘更新一次工作站的組策略設置。

要強制組策略立刻在本機更新可以使用命令行工具gpupdate.exe。輸入gpupdate /?將會看到該命令所有可用的參數(shù)。例如，要強制立刻刷新計算機配置這部分的組策略設置，可以使用：

Gpupdate /target:computer /force

查看策略結果集

根據(jù)對象所在的容器不同，多個GPO可以同時應用到域?qū)ο?。舉例來說，一個域級別的GPO設置可以被應用到域中的所有計算機上，針對不同OU的GPO也可以分別被應用到那個OU的相應對象。人工判斷哪個GPO被應用以及它們以什么樣的順序被應用是一個繁瑣的工作，尤其是在一個復雜的域環(huán)境中，這使得組策略問題的錯誤排查顯得異常困難。好在Windows XP提供了兩個工具RsoP（Resultant Set of Policy，策略結果集）和gpresult.exe，可以用來查看一個對象上GPO的應用情況。

RsoP組件

RSoP.msc是一個用來顯示本地計算機上策略應用情況的MMC組件，要打開這個組件，可以直接在命令行窗口輸入RSoP.msc或者添加策略結果集到MMC中。圖13顯示了策略結果集組件。

圖 13

對每個組策略設置，RsoP都會顯示計算機設置（當前計算機的設置情況）以及GPO來源（哪個GPO最終產(chǎn)生了當前的設置）。

Gpresult.exe

Gpresult.exe是一個命令行工具，可以用來查看計算機上***一次被應用的組策略的詳細狀態(tài)：應用了哪些GPO以及應用的先后順序，以及因為什么原因哪些GPO沒有被應用。同時Gpresult還可以搜集網(wǎng)絡中其它計算機的相關信息。

要查看gpresult所有可用的參數(shù)，可以在命令行下輸入

gpresult /?

已知問題

本段會就加入Windows 2000域的Windows XP計算機可能會遇到的問題作出說明。

RestrictAnonymous 設置以及“用戶必須在下次登錄時修改密碼”

默認情況下Windows XP不會給匿名用戶（空連接）指派與Everyone組相同的權限，然而在Windows NT和Windows 2000中匿名用戶則是具有這種權限的。如果Windows 2000域中用戶被設置了用戶下次登錄時必須修改密碼選項同時Windows 2000 域控制器上RestrictAnonymous注冊表鍵被設置為匿名用戶沒有任何權限，除非被指派（注冊表鍵值被設置為2），這種情況下Windows 2000域用戶登錄Windows XP計算機時可能會遇到一些潛在的問題。

從Windows 2000 Professional客戶端上登錄的用戶不會遇到任何登錄問題，在需要的時候也可以修改他的密碼。然we從Windows XP客戶端登錄的同一個用戶可能會在輸入新密碼后遇到“你沒有更改密碼的權限”的錯誤信息。唯一的解決方法是在Windows 2000域控制器上把RestrictAnonymous鍵的鍵值由2改為0或者1。要注意修改Windows 2000的設置可能會在域控制器上產(chǎn)生很多公開的狀態(tài)信息，這些狀態(tài)信息都能被黑客利用，哪怕是注冊表鍵被設置為1這種小事。有很多工具軟件可以收集這些信息，甚至枚舉所有的用戶帳戶信息。這里面的安全風險必須高度注意。

在Windows 2000域中介紹完Win XP組策略后，相信大家對Win XP組策略有了一個大致的了解了，而更多有關組策略的知識有待于讀者去學習和鞏固。

【編輯推薦】

1. 巧用組策略確保網(wǎng)絡安全
2. 利用組策略從三個方面為Win7瘦身
3. Windows系統(tǒng)中高效運用組策略的方法
4. 如何在Vista中設置多個本地組策略對象？
5. 利用組策略鎖定Windows XP系統(tǒng)分區(qū)的方法