Windows环境中组策略处理优先级详解

Windows环境中组策略处理优先级详解

组策略处理和优先级

应用于某个用户（或计算机）的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。

处理设置的顺序

本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息，请参阅以下主题启动和登录中的第3 步和第8 步。

组策略设置是按下列顺序进行处理的：

1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理，都会处

理该内容。

2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台

(GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。o

3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。

“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。

4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理，然后是链接到其子

组织单位的GPO，依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。

wu

在Active Directory 层次结构的每一级组织单位中，可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO，它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。

该顺序意味着首先会处理本地GPO，最后处理链接到计算机或用户直接所属的组织单位的GPO，它会覆盖以前GPO 中与之冲突的设置。（如果不存在冲突，则只是将以前的设置和以后的设置进行结合。）

设置默认处理顺序的例外

设置的默认处理顺序受下列例外情况的影响：

GPO 链接可以“强制”，也可以“禁用”，或者同时设置两者。默认情况下，GPO 链接既不强制也不禁用。

∙GPO 可以禁用其用户设置、禁用其计算机设置，也可以禁用所有设置。默认情况下，GPO 上的用户设置和计算机设置都不禁用。

∙组织单位或域可以设置成“阻止继承”。默认情况下，不设置成“阻止继承”。

有关默认行为的上述修改的信息，请参阅管理组策略继承。

∙作为工作组成员的计算机仅处理本地组策略对象。

∙可以启用环回。有关环回的信息，请参阅在合并或替换时启用环回处理。

启动和登录

下面的序列显示了计算机启动和用户登录时计算机策略和用户策略的应用顺序：

1.网络启动。远程过程调用系统服务(RPCSS) 和多重通用命名约定提供程序(MUP) 启动。（Windows XP

Professional 是该规则的一个例外。默认情况下，在Windows XP Professional 中组策略处理不会等待

网络启动。该默认行为可通过策略设置进行更改。）

2.获取用于该计算机的GPO 顺序列表。该列表可能取决于下列因素：

∙计算机是否属于域，并因此通过Active Directory 受组策略的控制。

∙计算机在Active Directory 中的位置。

∙组策略对象列表是否已经更改。如果GPO 列表没有更改，则不进行任何处理。可以使用策略设置更改该行为。

∙管理员设置的任何强制/阻止。管理员可以将策略设置为一个总是会应用的更高级别，这个过程称为强制，以前称为禁止替代。另外，管理员还可以设置一个容器来阻止更高级别的任何策略的应用。

注意：管理员设置为强制的更高级别的策略将继续应用，即使设置了以上级别的阻止也是如此。

3.计算机策略得以应用。这些都是收集的列表中“计算机配置”下的设置。GPO 是按照下列顺序应用的：本地、

站点、域、组织单位、子组织单位等。在处理计算机策略时，不出现任何通知。可以通过策略打开详细日志

记录，以显示处理计算机策略的通知。

有关在应用用户或计算机策略时处理设置的顺序的详细信息，请参阅本主题中的处理设置的顺序。

4.启动脚本运行。默认情况下这是隐藏而且是同步进行的；每个脚本在下一个脚本开始执行之前要么必须完成，

要么做超时处理。默认的超时时间为600 秒。可以使用几个策略设置更改该行为。

注意

∙任何版本的Windows XP Professional 都提供了“快速登录优化”功能。默认情况下，使用这些操作系统的计算机在引导时不会等待网络启动。登录之后，一旦网络可用，策略将立即在后台进行处理。这就意味着在

登录和启动时，计算机将继续使用以前的策略设置。因此，对于只能在引导或登录时应用的设置（如软件安

装和文件夹重定向），用户可以在对GPO 进行初始更改之后为多次登录请求这样的设置。该策略由“计算机配置\管理模板\系统\登录\计算机启动或登录时总是等待网络”中的设置控制。该功能在Windows 2000 或Windows Server 2003 版本中不可用。

1.用户按Ctrl-Alt-Del 登录。

2.用户通过验证后，加载用户配置文件；这是由当前生效的策略设置控制的。

3.获取用于该用户的GPO 顺序列表。该列表可能取决于下列因素：

∙用户是否属于域，并因此通过Active Directory 受组策略的控制。

∙是否启用了环回，以及环回策略设置的状态（“合并”还是“替换”）。

∙用户在Active Directory 中的位置。

∙管理员设置的任何强制/阻止。管理员可以将策略设置为一个总是会应用的更高级别，这个过程称为强制，以前称为禁止替代。另外，管理员还可以设置一个容器来阻止更高级别的任何策略的应用。

注意：管理员设置为强制的更高级别的策略将继续应用，即使设置了以上级别的阻止也是如此。

4.用户策略已被应用。这些都是收集的列表中“用户配置”下的设置。GPO 是按照下列顺序处理的：本地、站点、

域、组织单位、子组织单位等。在处理用户策略时，不出现任何通知。（可以通过策略打开通知。）

有关在应用用户或计算机策略时处理设置的顺序的详细信息，请参阅本主题中的处理设置的顺序。

5.登录脚本运行。与Windows NT 4.0 脚本不同，基于组策略的登录脚本在默认情况下是隐藏并且异步运行

的。最后，在常规窗口中运行用户对象脚本。还有一个登录超时脚本。

6.出现由组策略预定义的操作系统用户界面。