Active+Diretory+全攻略--组策略.doc

组策略与 OU 中的组没有关系， 不要混淆了。 系统管理员可利用 组策略来管理 AD 数据库中的计算机与用户。 例如： 用户桌面环 境、计算机启动 /关机所执行脚本文件，用户登录 / 注销所执行的 脚本文件、文件重定向、软件安装等。
一、。在用户设置的 WINDOWS 设置中，能够 设置INTERNET EXPLORER 维护、脚本文件、安全性设置、 远程安装服务与文件重定向策略。
系统管理模板：所有涉到注册表的策略都集成在主个子节点 下。系统管理模板在计算机设置能够设置
WINDOWS 元件、系 统、网络与打印机策略。在用户设置的系统管理模板，能够设置 WINDOWS 元件、开始菜单、和任务栏、桌面控制台、网络与 系统策略。
GPO 与 SDOU 的连接关系：
GPO 本身保存组策略的设置值，必须要进一步指定 GPO 连 接一哪个 SDOU ，才能使用组策略在应用对象生效。
GPO 与 SDOU 间的连接关系，可以是一对一，一对多或多对 一。
2、组策略的应用机制：
两项特性：继承与累加
策略继承：在 AD 结构中，若 X 容器下层还有 Y 容器，则 Y 容 器便是所谓的”子容器“ X, Y容器两者间便存在策略关系。在 默认情况下子容器会继承来自上层容器的 GPO 。 在整个继承关系中，最上层为站点，其下层为域与组织单位。若 有多层组织单位， 则下层组织单位会继承上层组织单位的 GPO 。 策略累加： 策略累加机制和组策略的应用顺序有密切的关系， 假 设将域 FLAG。 COM 连接到 GPO-F ，将组织单位 PRODUCT 与 EMLPOYE 分别连接到 GPO-P 和 GPO-E 。 PRODUCT 与 E MPLOYE 这两个组织单位除了本身的组策略外，还会继承来自 上层容器策略。子容器会首先应用继承来自上层容器的组策略， 然后再应用本身的组策略， 当上层的设置项目与下层的设置项目 不同时， 组策略的效果可以相加， 但若是对同一个项目做不同的
设置，则先应用的策略会被后来应用的策略覆盖。
何时应用组策略：
开机 /登录：当计算机开机时，域控制器会根据计算机帐户在 A D 中的位置，决定该计算机必须应用哪些 GPO 。此时仅应用这 些 GPO 中计算机设置的部分。 用户登录时， 即按 CTRL+ALT+ DEL 后，输入账号和密码。 域控制器会根据用户帐户在 AD 中的 位置，决定该用户必须应用哪些 GPO 。此时仅应用这些 GPO 中 用户设置的部分。
一般而言， 都是计算机顺利启动之后， 用户才能用该计算机登录 域，因此，在实际上是先应用计算机设置，后应用用户设置。不 过，这里出现一个值得注意的现象， 当计算机设置和用户设置发 生冲突时， 若依照前面的概念， 应该是后应用的用户设置覆盖掉 先应用的计算机设置， 然而并不是这样， 事实是计算机设置覆盖 掉用户设置。
此外由于计算机与用户可能分别隶属不同的站点、域或组织单 位，因此，各自可能会继承不同的 GPO 。
，由图可知，X用户隶属于A2组织单位，Y计算机隶属于B2 组织单位，当X用户从Y计算机开机并登录域时，应用GPO的 情形如下：
1、 当计算机开机时，会依次应用 GPO1--GPO2--GPO3--GP
O4中计算机设置的部分
2、 当用户登录时，会依次应用 GPO1--GPO2--GPO5 中用户 设置的部分。
重新应用组策略
实际更新组策略的间隔是以随机数产生，以 90--120 分钟的范 围，倘若要强迫立即应用组策略，可执行 GPUPDATE。EXE。
组策略的应用顺序：最先应用本机的组策略，其次为站点的组策 略，再其次为域的组策略，然后是组织单位的组策略。倘若不考 虑不可强制覆盖和不要继承策略，策略则是 后应用的设置值覆
盖先应用的设置值。
3、下面来建立与管理组策略
建立和应用组策略
以组织单位上建立为例
Actits Site
3TVKJX仞虫丿•…
移动⑦…
I' -Ini x
匕文件世）操
查找①…
帮助QD
■剧X
o 向丽
訓圍|迥谀渐寸”
二Active Dirsc
所有枉势⑥
r部 2个对象
田_J俣存的查t
查看妁
4
［粪型
崙述
从这里创連窗口型）
共享文件夹 计算机
Ian don co
I Builti + _] ± Dorn ai r
_ ] Forei.
_J LcstAr I HTBS £
二
0
±j
:+i
删除◎ 重命名通）
刷新的
导出列表©…
R _] Sys t eft 由二]Users ra型总管淮
帮助on
打开