Active+Diretory+全攻略--组策略

组策略与OU中的组没有关系，不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如：用户桌面环境、计算机启动/关机所执行脚本文件，用户登录/注销所执行的脚本文件、文件重定向、软件安装等。

一、组策略的基本概念

1、组策略的设置数据保存在AD数据库中，因此必须在域控制器上设置组策略。

2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。

3、组策略不能应用到组，只能够应用到站点、域或组织单位（SDOU）

4、组策略不适用于WINDOWS9X/NT的计算机，所以应用到这些计算机上无效。

5、组策略不会影响未加入域的计算机和用户，对于这些计算机和用户，应使用本地安全策略来管理。注意一下：本地安全策略与组策略很相似，但功能较少，仅能管理本机上的计算机设置与用户设置。

GPO的特性：

组策略的设置数据都是保存在“组策略对象“（GPO）中，GP O具有以下特性：

1、GPO利用ACL记录权限设置，可以修改个别GPO的A CL，指定哪些人对该GPO拥有何种权限。

2、用户只要有足够的权限，便能够添加或删除GPO，但无法复制GPO。当AD域刚建好时，默认仅有一个GPO--DEFA OLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略，通常会再另行建立GPO，以方便管理。

GPO的内容：

GPO有两大类策略：1、计算机设置：包含所有与计算机有关的策略设置，这些策略只会应用到计算机帐户。

2、用户设置：包含所有与用户有关的策略设置，这些策略只会应用到用户帐户。

下面来看下

打开属性

可以看到这里只有一个，而且是默认的。点编辑

来到这个默认GPO编辑器。

在这个域树结构中，计算机设置和用户设置称为节点（NODE）而这两个节点又都包含了软件设置、WINDOWS设置和系统管理模块三个子节点。介绍如下：

软件设置：此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。

WINDOWS设置：在这里，系统管理员能够设置脚本文件、建立帐户策略、指派USER RIGHT和集中管理用户配置文件。WINDOWS设置在计算机设置与用户设置内，分别有不同的设置项目：在计算机设置的WINDOWS设置中，能够设置脚本文件与安全性设置策略。在用户设置的WINDOWS设置中，能够设置INTERNET EXPLORER维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。

系统管理模板：所有涉到注册表的策略都集成在主个子节点下。系统管理模板在计算机设置能够设置WINDOWS元件、系统、网络与打印机策略。在用户设置的系统管理模板，能够设置WINDOWS元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。

GPO与SDOU的连接关系：

GPO本身保存组策略的设置值，必须要进一步指定GPO连接一哪个SDOU，才能使用组策略在应用对象生效。

GPO与SDOU间的连接关系，可以是一对一，一对多或多对一。

2、组策略的应用机制：

两项特性：继承与累加

策略继承：在AD结构中，若X容器下层还有Y容器，则Y容器便是所谓的”子容器“，X，Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。

在整个继承关系中，最上层为站点，其下层为域与组织单位。若有多层组织单位，则下层组织单位会继承上层组织单位的GPO。策略累加：策略累加机制和组策略的应用顺序有密切的关系，假设将域FLAG。COM连接到GPO-F，将组织单位PRODUCT

与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与E MPLOYE这两个组织单位除了本身的组策略外，还会继承来自

上层容器策略。子容器会首先应用继承来自上层容器的组策略，然后再应用本身的组策略，当上层的设置项目与下层的设置项目不同时，组策略的效果可以相加，但若是对同一个项目做不同的设置，则先应用的策略会被后来应用的策略覆盖。

何时应用组策略：

开机/登录：当计算机开机时，域控制器会根据计算机帐户在A D中的位置，决定该计算机必须应用哪些GPO。此时仅应用这些GPO中计算机设置的部分。用户登录时，即按CTRL+ALT+ DEL后，输入账号和密码。域控制器会根据用户帐户在AD中的位置，决定该用户必须应用哪些GPO。此时仅应用这些GPO中用户设置的部分。

一般而言，都是计算机顺利启动之后，用户才能用该计算机登录域，因此，在实际上是先应用计算机设置，后应用用户设置。不过，这里出现一个值得注意的现象，当计算机设置和用户设置发生冲突时，若依照前面的概念，应该是后应用的用户设置覆盖掉先应用的计算机设置，然而并不是这样，事实是计算机设置覆盖掉用户设置。

此外由于计算机与用户可能分别隶属不同的站点、域或组织单位，因此，各自可能会继承不同的GPO。

，由图可知，X用户隶属于A2组织单位，Y计算机隶属于B2组织单位，当X用户从Y计算机开机并登录域时，应用GPO的情形如下：

1、当计算机开机时，会依次应用GPO1--GPO2--GPO3--GP O4中计算机设置的部分

2、当用户登录时，会依次应用GPO1--GPO2--GPO5中用户设置的部分。

重新应用组策略

实际更新组策略的间隔是以随机数产生，以90--120分钟的范围，倘若要强迫立即应用组策略，可执行GPUPDATE。EXE。

组策略的应用顺序：最先应用本机的组策略，其次为站点的组策略，再其次为域的组策略，然后是组织单位的组策略。倘若不考虑不可强制覆盖和不要继承策略，策略则是“后应用的设置值覆盖先应用的设置值。

3、下面来建立与管理组策略

建立和应用组策略

以组织单位上建立为例

点属性