Windows 2000中的组策略简介

核心提示： GPO的继承模型与Novell公司的Zenworks策略方式截然不同，在Zenworks中，Windows 2000中的组策略简介(3)，如果在Novell目录服务（NDS）树上的不同点使用多个策略包，只有距离用户对象最近的策略包才起作用，包含安全策略的GPO仍然会被系统执行，&ldquo

GPO的继承模型与Novell公司的Zenworks策略方式截然不同。在Zenworks中，如果在Novell目录服务（NDS）树上的不同点使用多个策略包，只有距离用户对象最近的策略包才起作用。在Win2K中，如果在AD的不同层次上定义四个GPO，操作系统使用“LSDOU”优先顺序来执行这些策略，对计算机或用户的作用是这四个策略执行的“和”。此外，有时在一个GPO中的设置会被其他GPO中的设置抵销。通过AD级GPO，用户可以拥有更多的策略控制委托，例如，公司的安全部门负责在域一级上设计用于所有系统设备的安全GPO。通过使用GPO,可以让某个OU的系统管理员拥有在OU上安装软件的权利。在Zenworks模型中，必须在希望使用策略的所有层次上复制这些策略，而且策略对用户或计算机对象的作用并非是所有策略的“和”。

为了进一步地控制GPO，微软提供了三种设置来限制GPO继承的复杂性。在地址、域、OU三个层次上用户都可以通过选择一个检查框阻止从更高一个层次上进行继承，同样，在每一个层次上，用户可以选择缺省的域策略选项，方法是打开“活动目录用户和计算机”插件，右击GPO所在的域或OU，从菜单中选择“属性”，然后选择“组策略”标签。让你希望修改的项目变亮，然后选择“选项”按钮，可供选择的选项有“不覆盖”或“禁止”。如果选择了“不覆盖”选项，即使选择了不能继承的检查框，该GPO还是会起作用。如果想在任何一个地方执行一个GPO时，这一功能就很有用处。如果一个OU的管理员试图阻止对安全策略的继承，包含安全策略的GPO仍然会被系统执行。“禁止”检查框可以完全禁止一个GPO执行，这一功能在你对一个GPO进行编辑而不想让其他的用户执行它时特别有效。