组策略的处理规则
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组策略的处理规则
域控制器与域内计算机在处理、应用组策略时,有一定的程序与规则,只有详细了解这些程序与规则,才能充分的通过组策略来管理用户与计算机的环境。
一般的继承与处理规则
组策略的配置具有继承性,它的处理规则如下:
》如果父容器(high-level container)的某个策略被配置,但其子容器(low-level container)的策略未被配置,则子容器的这个策略将继承父容器的配置值。
》如果子容器的某个策略被配置,则止配置值会覆盖由其父容器所传递下来的配置值。
》组策略的配置有累加性(cumulative)。
但当域、站点与OU之间的GPO配置发生冲突时,则以处理顺序在后的GPO优先。系统处理GPO的优先顺序是:
站点的GPO、域的GPO、OU的GPO
因此OU 的GPO被优先处理。
》系统是先处理“计算机配置”,再处理“用户配置”,如果组策略内的“计算机配置”与“用户配置”冲突时,虽然“用户配置”在后,但大部分情况下却是以”计算机配置“优先。》如果你将多个GPO链接到同一个OU,那么所有GPO的配置将被累加起来,作为最后的有效配置值,如果这些GPO的配置相互冲突时,将以排在前面的GPO配置为优先。
提示:“本场计算机策略”的优先权最低,也就是说如果“本地计算机策略”内的配置值与站点、域或OU配置冲突时,站点、域或OU的配置优先、“本地计算机策略”的配置无效。
例外的继承配置
除了一般的继承与处理规则外,还可以配置以下的例外规则。
阻止策略继承
可以通过选择子容器内“阻止策略继承(Block Inheritance)”选项来设置不继承由父容器传递来的所有GPO配置,也就是直接以子容器的GPO作为配置值。如果子容器的GPO内设置为“尚未配置”,则采用默认值。
强制策略继承
强制策略继承(enforcing inheritance)是指可以在父容器中通过GPO的“禁止替代(No Override)”选项强制子容器必须继承(不准覆盖)此GPO内的组策略设定,而不论子容器是否设置了“阻止策略继承”。
过滤组策略配置
过滤组策略配置(Filtering Group Policy)是指在某个容器建立GPO后,此GPO的设置将被应用到这个容器内的所有用户和计算机。也可以让此GPO不应用到特定的用户或计算机,
例如:“业务部”OU的GPO配置值内,可对所有业务部工作人员的工作环境做某些限制,但对业务部经理作此限制。
位于容器内的用户与计算机,默认地对该容器的GPO都具有“读取”与“应用组策略”权限,可以通过:在图所示中选中GPO-单击“属性”按钮-“安全”的方法来查看,图中的Authenticated Users表示所有经过身份确认的用户与计算机。若不想将此GPO的设置应用到此容器内的用户,只需单击“添加”按钮,选择用户,然后就用户的这两个权限设为“拒绝”即可。
将需要过滤的用户添加进去
将这些权限改为拒绝
特殊处理的设置
强制处理GPO
客户端的计算机在处理组策略的配置时,是将不同类型的策略交给不用的动态链接库(dynamice-link libraries,DLL)进行处理与应用,这些DLL被称为client-side extension,
如图所示
但是,当某个xlinwr-aisw wzrwnsion在处理其所犯罪的策略时,只处理上次处理后的最新变动策略。这种做法虽然可以提高处理策略的效率,但有时候却无法达到预定的目的,例如,在GPO内对用户做了某项限制,而用户因这个策略受到限制之后,却自行将此限制删除,那么当下次用户端应用策略时,client-side extension会因为GOP内的策略配置值并没有变动而不处理此策略,因而无法自动将用户自行改变的配置恢复。
解决这个问题的方法是:强制要求client-side extension处理每一个策略,不论该策略的配置值是否变动,可以针对每一个client-side extension分别配置。例如:假设要求“业务部”OU 内的每一台计算机在每一次处理、应用策略时,必须处理、应用与软件安装有关的策略,则其配置方法是:在如图所示“业务部GPO”的组策略编辑器对话框中执行“计算机配置”-“管理模板”-“系统”-“组策略”-“双击”软件安装策略处理。
;
如果要让计算机强制处理、应用所有的计算机策略配置,可以利用gpupdate /target:computer /force命令,如果要应用所有的用户配置策略,可以利用:gpupdate /target:user /force命令。