组策略系列之三:用户或计算机应用组策略的前提
2010-09-27 12:57:34 来源:WEB开发网通过前面的学习,我们知道了GPO加载过程,但如何让一个用户或计算机加载此策略呢?换句话说,用户或计算机登录或启用难道就一定会加载相应的组策略吗?
一、组策略的两种设置:
a)计算机配置:对计算机的相应设置,原则上无论是哪些用户在这些计算机上登录,都将加载此设置。
b)用户配置:对用户的相应设置,原则上无论这些用户在哪些计算机上登录,都将加载这些设置。
二、组策略的应用的容器:
LSDOU:
其中L-local本地组策略
S-site站点级别的组策略
D-Domain域级别的组策略
OU-OU级别的组策略
GPO只能链接到这些容器上,而应用或加载的顺序是先加载Local,再加载site的,再加载域的,最后再加载OU、子OU的。如果在同一个容器上用多条GPO,则处于列表最高位的最后加载。(一句话:最后加载的优先级最高,也就是说,如果多条策略设置冲突,则这些冲突的组策略中,最后加载的设置生效)
如下图所示:在一个容器上链接了两条GPO,二者的优先级如下图。
三、组策略对象的继承:
默认下继承顺序LSDOU。即下级容器会继承上级容器的组策略。也就是说如果各级组策略的设置不冲突,则最终用户或计算机将应用所有组策略的设置(在默认情况下)。
四、GPO的冲突处理
1) 计算机策略覆盖用户策略(如果同一条策略,计算机和用户策略冲突)
2) 不同容器上的策略产生冲突,子容器上的GPO优先级高。
3) 同一容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。
总体原则:后执行的优先级最高。
五、实施组策略:
如果你要想让用户或计算机能按你的要求加载其相应的组策略,你必须有两点必须满足,否则,上面这些根本实现不了!!
1)计算机和用户必须位于GPO有链接的SDOU容器内。
2)必须对GPO要有读取和应用组策略的权限。(authenticated users默认包括所有计算机和用户,具有此权限)。
如下图所示:在默认的情况下,任意一个GPO,所有authenticated users组的用户或计算机均可读取并应用。
如果我们不想让一个用户应用此GPO的设置,我们可以通过上面的委派项,进行详细的设置,给这个用户“拒绝读取组策略”的权限就可以了。如下所示:
在这个域内拒绝jack这个用户应用此域级别的GPO设置,如下操作即可。
这样,即使这个用户在域内,不管他在哪台计算机上登录,均不能应用domain-soft(install)这条策略中的用户设置。不知各位明白了没有?
我会在下节课和各位分享:组策略的默认应用顺序的改变!
本文出自 “千山岛主之微软技术空间站” 博客,请务必保留此出处http://jary3000.blog.51cto.com/610705/122093
更多精彩
赞助商链接