Active Diretory 全攻略（八）－－组策略（1）

核心提示：组策略与OU中的组没有关系，不要混淆了，Active Diretory 全攻略（八）－－组策略（1），系统管理员可利用组策略来管理AD数据库中的计算机与用户，例如：用户桌面环境、计算机启动/关机所执行脚本文件，这些策略只会应用到计算机帐户，2、用户设置：包含所有与用户有关的策略设置，用户登录/注销所执行的脚本文件、文件

组策略与OU中的组没有关系，不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如：用户桌面环境、计算机启动/关机所执行脚本文件，用户登录/注销所执行的脚本文件、文件重定向、软件安装等。

一、组策略的基本概念

1、组策略的设置数据保存在AD数据库中，因此必须在域控制器上设置组策略。

2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。

3、组策略不能应用到组，只能够应用到站点、域或组织单位（SDOU）

4、组策略不适用于WINDOWS9X/NT的计算机，所以应用到这些计算机上无效。

5、组策略不会影响未加入域的计算机和用户，对于这些计算机和用户，应使用本地安全策略来管理。注意一下：本地安全策略与组策略很相似，但功能较少，仅能管理本机上的计算机设置与用户设置。

GPO的特性：

组策略的设置数据都是保存在“组策略对象“（GPO）中，GPO具有以下特性：

1、GPO利用ACL记录权限设置，可以修改个别GPO的ACL，指定哪些人对该GPO拥有何种权限。

2、用户只要有足够的权限，便能够添加或删除GPO，但无法复制GPO。当AD域刚建好时，默认仅有一个GPO--DEFAOLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略，通常会再另行建立GPO，以方便管理。

GPO的内容：

GPO有两大类策略：1、计算机设置：包含所有与计算机有关的策略设置，这些策略只会应用到计算机帐户。

2、用户设置：包含所有与用户有关的策略设置，这些策略只会应用到用户帐户。

下面来看下