组策略在部分意义上是控制用户可以或不能在计算机上做什么,例如:施行密码复杂性策略避免用户选择过于简单的密码,允许或阻止身份不明的用户从远程计算机连接到网络共享,阻止访问Windows任务管理器或限制访问特定文件夹。这样一套配置被称为组策略对象(Group Policy Object,GPO)。[1]
作为微软IntelliMirror技术的一部分,组策略旨在减少用户支持成本。IntelliMirror技术涉及已断开机器或漫游用户的管理,并包括漫游用户配置文件、文件夹重定向和脱机文件。
要完成一组计算机的中央管理目标,计算机应该接收和执行组策略对象。驻留在单台计算机上的组策略对象仅适用该台计算机。要应用一个组策略对象到一个计算机组,组策略依赖于活动目录(或第三方产品,例如ZENworks Desktop Management)进行分发。活动目录可以分发组策略对象到一个Windows域中的计算机。[3]
默认情况下,Microsoft Windows每90分钟刷新一次组策略,随机偏移30分钟。在域控制器上,Microsoft Windows每隔5分钟刷新一次。在刷新时,它会发现、获取和应用所有适用这台计算机和已登录用户的组策略对象。某些设置,例如自动化软件安装、驱动器映射、启动脚本或登录脚本,只在启动或用户登录时应用。从Windows XP开始,用户可以从命令行提示符使用gpupdate命令手动启动组策略刷新。[3]
组策略对象会按照以下顺序(从上向下)处理:
本地- 任何在本地计算机的设置。在Windows Vista之前,每台计算机只能有一份本地组策略。在Windows Vista和之后的Windows版本中,允许每个用户帐户分别拥有组策略。
站点- 任何与计算机所在的活动目录站点关联的组策略。(活动目录站点是旨在管理促进物理上接近的计算机的一种逻辑分组)。如果多个策略已链接到一个站点,将按照管理员设置的顺序处理。
域- 任何与计算机所在Windows域关联的组策略。如果多个策略已链接到一个域,将按照管理员设置的顺序处理。
组织单元- 任何与计算机或用户所在的活动目录组织单元(OU)关联的组策略。(OU是帮助组织和管理一组用户、计算机或其他活动目录对象的逻辑单元)。如果多个策略已链接到一个OU,将按照管理员设置的顺序处理。
应用到指定计算机或用户的组策略设置结果被称为策略结果集(RSoP)。可以使用gpresult命令显示计算机和用户的RSoP信息。
组策略设置内部是一个分层结构,父传子、子传孙,以此类推,这被称为“继承”。它可以控制阻止或施行策略应用到每个层级。如果高级别的管理员创建了一个具有继承性的策略,而低层级的管理员策略与此相悖,此策略仍将生效。