■河南 劉進京

利用組策略，可以通過Active Directory 提供的LDAP 和Kerberos 協(xié)議，來對這些對象進行查詢和編輯操作。對于組策略來說，其主要掌管著域中的所有配置信息的編輯和分發(fā)大權。域管理員只要配置某個策略，就可以自動批量的應用到域中的目標主機主機上。

如果管理員修改了某個組策略，客戶端也會定期去獲取和應用該策略。當配置了AD DS 域服務器后，系統(tǒng)會自動創(chuàng)建名為“Default Domain Policy”和“Default Doamin Controllers Policy”兩個默認的組策略對象。當然，管理員可以根據需要來創(chuàng)建更多的組策略對象。對于組策略對象來說，其實際上包括組策略容器和組策略模版兩部分，前者的內容存儲在活動目錄數據庫中，記錄著組策略對象的屬性和版本等信息。

對于后者來說，負責存儲組策略對象的設置值和相關文件，其實際上是一個文件夾，默認為“%systemroot%sysvolxxxpolicies”目錄，其中的“xxx”為具體的域名，系統(tǒng)使用組策略對象的GUID作為目錄的名稱。這樣，域中的所有任意計算機都可以對其進行訪問。當域對象更改后，新的配置不會立即對計算機和用戶生效，對于計算機配置項目來說，在計算機開機時會自動應用。對于域控來說，默認每隔5 分鐘應用一次。對于非域控來說，默認每隔90 到120 分鐘應用一次。

對于用戶配置策略來說，在用戶登錄時會自動應用。也可以默認每隔90 到120分鐘應用一次。對于上述兩類配置策略來說，無論策略是否更改，安全性配置策略都會默認每隔16 小時應用一次。當然，客戶端執(zhí)行“gpupdate/force”命令，可以強制應用組策略。對于Windows Server 2012 及其以上的系統(tǒng)來說，其組策略管理支持強制推動組策略到客戶端主機。

例如，在Windows Server 2012 中打開服務器管理器，點擊菜單“工具”-“組策略管理”項，打開GPMC 組策略管理中心，便于管理員針對組策略進行集中的創(chuàng)建、修改等操作。當創(chuàng)建了組策略對象后，可以利用組策略編輯工具，對其進行具體的編輯和設置操作。對于組策略的客戶端服務來說，可以在所有的客戶端上運行，可以向域控的“%systemroot%sysvol”目錄查詢組策略設置的變動信息，并將其應用到本地計算機中。實現(xiàn)批量的分發(fā)和應用的目的。

從組策略的總體運作流程上看，組策略對象毫無疑問處于處于中心的位置，所有的操作幾乎都是圍繞著組策略對象進行的。當管理員創(chuàng)建了大量的額組策略對象后，對其進行備份操作就顯得極為重要了。如果域控出現(xiàn)了故障，就可以利用備份快速恢復組策略對象。在GMPC控制臺左側選擇“組策略對象”項，在其右鍵菜單上點擊“全部備份”項，在打開窗口中點擊“瀏覽”按鈕，可以更改備份數據保存路徑，輸入描述信息后，點擊“備份”按鈕執(zhí)行備份操作。

這樣，雖然可以備份組策略對象。但是只能手工操作，無法實現(xiàn)自動化的備份操作。其實,利用PowerShell這一強大的工具，可以更加靈活的備份組策略對象。在PowerSHell中執(zhí)行“Get-Com mand Backup-GPO”命令，顯示和備份組策略相關的命令信息。為了便于使用，可以使用記事本創(chuàng)建名為“GPOBak.ps1”的文件，在其中輸入“$Date=(Get-Date)”行令，獲取當前的時間信息。輸入“$BFPath=$D ate.Year.ToString()+$D ate.Month.ToString()+$D ate.Day.ToString()”行，將時間信息中的年月日數據提取出來，組成一個字符串，用來作為備份目錄的名稱。

輸入“$ BFPath="D：Gp odata"+""+$ BFPath+""”，“New-Item -Path$FolderPath -ItemType Directory”行，設置備份的具體路徑信息，這里在“D：Gpodata”目錄下創(chuàng)建上述以年月時命令的目錄，在其中存儲組策略備份信息。輸入“Backup-GPO -All-Path”行，執(zhí)行具體的備份操作。為了實現(xiàn)自動備份操作，可以利用計劃任務來實現(xiàn)。在PowerShell中已經提供了管理計劃任務的命令，在PowerShell中執(zhí)行“$trigger= New-ScheduledTaskTrigger-Daily -At 1am”命令，創(chuàng)建一個觸發(fā)器，在每天的凌晨1點執(zhí)行。

執(zhí)行“$action=New-ScheduledTaskAction -Exec ute 'Powershell.exe' ` -A rgument 'd：psfilegpobac k.ps1'”命令，創(chuàng)建一個新的動作，利用Powershell執(zhí)行上述名為“gpoback.ps1”的腳本文件，假設其保存在“d：psfile”目錄中。執(zhí)行“Register-ScheduledTask-Action $action -Trigger$trigger -TaskName"beifenzucelue" -Descript ion "每天備份組策略信息"”命令，使用上述觸發(fā)器和動作參數，創(chuàng)建名為“BackupGpos”的計劃任務，其描述信息為“每天備份組策略信息”。

這樣，當每天到達預設的時間后，就可以執(zhí)行上述腳本，來備份組策略對象了。當創(chuàng)建了多個組策略備份項目后，可以在GMPC控制臺左側選擇“組策略對象”項，在其右鍵菜單上點擊“管理備份”項，在打開窗口中點擊“瀏覽”按鈕，選擇上述備份路徑，列出其中的GPO備份信息。選擇具體的備份對象，點擊“查看設置”按鈕，會在瀏覽器中顯示其詳細的配置信息。點擊“還原”按鈕，在彈出的提示窗口中點擊“確定”按鈕，即可執(zhí)行組策略對象的還原操作。