一、組策略的兩種設置：

　　a)計算機配置:對計算機的相應設置，原則上無論是哪些用戶在這些計算機上登錄，都將加載此設置。

　　b)用戶配置：對用戶的相應設置，原則上無論這些用戶在哪些計算機上登錄，都將加載這些設置。

　　二、組策略的應用的容器：

　　LSDOU：

　　其中L-local本地組策略

　　S-site站點級別的組策略

　　D-Domain域級別的組策略

　　OU-OU級別的組策略

　　GPO只能鏈接到這些容器上，而應用或加載的順序是先加載Local，再加載site的，再加載域的，最后再加載OU、子OU的。如果在同一個容器上用多條GPO，則處于列表最高位的最后加載。（一句話：最后加載的優(yōu)先級最高，也就是說，如果多條策略設置沖突，則這些沖突的組策略中，最后加載的設置生效）

　　如下圖所示：在一個容器上鏈接了兩條GPO，二者的優(yōu)先級如下圖。

　　三、組策略對象的繼承：

　　默認下繼承順序LSDOU。即下級容器會繼承上級容器的組策略。也就是說如果各級組策略的設置不沖突，則最終用戶或計算機將應用所有組策略的設置（在默認情況下）。

　　四、GPO的沖突處理

　　1) 計算機策略覆蓋用戶策略（如果同一條策略，計算機和用戶策略沖突）

　　2) 不同容器上的策略產生沖突，子容器上的GPO優(yōu)先級高。

　　3) 同一容器上多個GPO產生沖突時，處于GPO列表最高位置的GPO優(yōu)先級最高。

　　總體原則：后執(zhí)行的優(yōu)先級最高。

　　五、實施組策略：

　　如果你要想讓用戶或計算機能按你的要求加載其相應的組策略，你必須有兩點必須滿足，否則，上面這些根本實現(xiàn)不了??！

　　1）計算機和用戶必須位于GPO有鏈接的SDOU容器內。

　　2）必須對GPO要有讀取和應用組策略的權限。（authenticated users默認包括所有計算機和用戶，具有此權限）。

　　如下圖所示：在默認的情況下，任意一個GPO，所有authenticated users組的用戶或計算機均可讀取并應用。

　　如果我們不想讓一個用戶應用此GPO的設置，我們可以通過上面的委派項，進行詳細的設置，給這個用戶“拒絕讀取組策略”的權限就可以了。如下所示：

　　在這個域內拒絕jack這個用戶應用此域級別的GPO設置，如下操作即可。

　　這樣，即使這個用戶在域內，不管他在哪臺計算機上登錄，均不能應用domain-soft（install）這條策略中的用戶設置。不知各位明白了沒有？

　　我會在下節(jié)課和各位分享：組策略的默認應用順序的改變！

　　本文出自 “千山島主之微軟技術空間站” 博客，請務必保留此出處http://jary3000.blog.51cto.com/610705/122093