组策略系列之四：《精典放送：组策略管理20点》

核心提示： 10. 调整组策略的应用顺序: 阻止继承：在子容器上启用（将阻止掉所有上级容器的策略，只应用本容器的GPO设置） 强制（禁止替代）：在父容器的某个GPO上启用（此GPO优先级最高，组策略系列之四：《精典放送：组策略管理20点》(2)，如果冲突，以此为准， 16.禁用GPO，可以针对一个容器禁用G

10. 调整组策略的应用顺序:

阻止继承：在子容器上启用（将阻止掉所有上级容器的策略，只应用本容器的GPO设置）

强制（禁止替代）：在父容器的某个GPO上启用（此GPO优先级最高，如果冲突，以此为准，其它不冲突的将累加）

“阻止继承”不能阻止上级容器所做的“强制”的GPO。（即若二者同时启用，以强制的为准）

若多个容器的GPO设为“强制”时，以先被应用的为准。

11.查看计算机或用户应用组策略的结果：gpresult/组策略结果集（MMC、帮助中）

12.组策略的安全过滤：如果一个用户帐号位于一个GPO相连的容器里，但不在security filtering里，则该用户不受到该GPO的影响。

13.WMI筛选：如果在一个GPO上连接了一个WMI过滤器，则该GPO的设置将只能作用于所连容器中符合WMI要求的计算机。

如：要求给所有客户机满足是winxp的机器安装软件。

思考：图书馆或教室的计算机，要求不管什么域用户登录，将都会应用本计算机的相应策略。即原有用户设置失效！--􀃆启用回环模式。

14. LOOPBACK模式：如果对一个容器的GPO设置了Loopback模式，则无论一个用户帐号来自何处，则只要在该容器的计算机登录到域，一定会受到该容器GPO的用户策略的影响。（replace/merge两种方式）

15.同步和异步：默认winxp是异步处理组策略。即先登录，后刷新组策略。

16.禁用GPO。可以针对一个容器禁用GPO中的计算机配置或用户配置或二者全禁。

17.改变管理GPO的DC：通过GPMC.msc或传统工具完成。

18.组策略的委派管理：（为指定的域或OU指定相应的组策略管理员）

三种权限的管理员：