Active Diretory 全攻略（八）－－组策略（1）

勾选拒绝，表示不赋予权限给用户、计算机或组。都不勾选，则表示隐含拒绝。代表一种强有力较弱的拒绝，无法覆盖允许。以DEFAULT DOMAIN POLICY应用于ADMINISTRATOR帐户的默认情形为例。ADMINISTRATOR同时隶属于AUTHENTICATED USERS 、DOMAIN ADMINS、与ENTERPRISE ADMINS三个组，后两个组对于DEFAULT DOMIAN POLICY 没设置允许或拒绝，属于隐含拒绝。但是AUTHENTICATED USERS 组、对于DEFAULT DOMAIN POLICY 有读取和应用组策略两项权限，所以ADMINISTRATOR 还是受到该组策略的约束。

通常规划组策略时，有两种逻辑：1、策略允许，例外拒绝：保留对AUTHENTICATED USERS组，让所有登录域的人都应用组策略。再针对特定的组拒绝应用组策略，这种方式相当于先关闭大门，再逐一过滤放行，安全较高。2、策略拒绝，例外允许：自ACL中删除AUTHENTICATED USERS组，让所有登录域的人都不应用组策略，然后对于需要应用组策略的组和用户，个别”允许读取“与”允许应用组策略两项权限，两项权限，这咱方式相当于先敞开大门，再逐一过滤拦阻，稍有疏失便产生漏网之鱼，安全性较差，建议少用。

委派控制GPO：

要将管理GPO的工作委派给特定的用户，必须按照如下步骤：1、委派“建立GPO连接关系”的权限，利用委派控制向导将管理组策略连接授权给特定的用户。2、委派“新建与删除GPO”的权限，将用户帐户加入GROUP POLICY CREATOR OWNER组，便也能使他获得新建与删除GPO的权限。注意这两步骤不能颠倒，否则无法委派成功。

委派建立GPO连接关系的权限

假设要将建立GPO连接关系的权限委派给李小龙。