組策略系列之四：《精典放送：組策略管理20點》

　　我們都知道，組策略能給我們對域內(nèi)計算機和用戶管理帶來不可估量的好處，通過前面三次課，我們基本上對組策略有了大致的認識，在這里我總結(jié)了組策略的20條使用規(guī)則，相信各位應(yīng)用組策略之后，讀過一定會給你帶來不小的收獲。在后期的課程里，我會圍繞著這些規(guī)則展開講解。

　　1. GPO=GPC+GPT （理解GPO的應(yīng)用過程） 見系列之二

　　2. 當計算機開機或用戶登錄時，組策略的應(yīng)用順序：Local--->site--->domain--->OU--->子OU　　　　

　　3. GPO只能鏈接到容器上（即LSDOU），只能對容器里面的計算機或用戶生效，而對組無效。

　　4. 組策略的生效原則： 見系列之三

　　a.用戶和計算機必須在其對應(yīng)的容器下面。

　　用戶會應(yīng)用其GPO中的用戶配置，而不管用戶在哪臺計算機上登錄。

　　計算機會應(yīng)用其GPO中的計算機配置，而不管哪個用戶登錄。

　　b.默認狀態(tài)下，GPO會應(yīng)用在authenticated users組（即所有域用戶和域計算機，默認下此組用戶可以讀取和應(yīng)用組策略）

　　5. 組策略的生效時間：

　　a. 計算機策略設(shè)置：計算機啟動、手動刷新（gpupdate /force)、90-120分鐘后臺周期刷新。

　　b. 用戶策略設(shè)置：用戶登錄、手動刷新（gpupdate /force)、90-120分鐘后臺刷新。

　　c. DC的策略設(shè)置：5分鐘后臺周期刷新。

　　6. 累加性：如果各級容器的GPO的策略設(shè)置沒有沖突，則累加。（默認狀態(tài)下）

　　7. 如果各級容器的GPO的策略設(shè)置發(fā)生沖突，則以范圍小的GPO策略為準。（默認）

　　8. 若一個容器上鏈接多個GPO，設(shè)置不沖突，則累加;若設(shè)置沖突，則以列表中最上面的優(yōu)先（即最后執(zhí)行的優(yōu)先）（默認）

　　     阻止繼承：在子容器上啟用（將阻止掉所有上級容器的策略，只應(yīng)用本容器的GPO設(shè)置）

　　    強制（禁止替代）：在父容器的某個GPO上啟用（此GPO優(yōu)先級最高，如果沖突，以此為準，其它不沖突的將累加）

　　   “阻止繼承”不能阻止上級容器所做的“強制”的GPO。（即若二者同時啟用，以強制的為準）

　　   若多個容器的GPO設(shè)為“強制”時，以先被應(yīng)用的為準。

　　11.查看計算機或用戶應(yīng)用組策略的結(jié)果：gpresult/組策略結(jié)果集（MMC、幫助中）

　　12.組策略的安全過濾：如果一個用戶賬號位于一個GPO相連的容器里，但不在security filtering里，則該用戶不受到該GPO的影響。

　　13.WMI篩選：如果在一個GPO上連接了一個WMI過濾器，則該GPO的設(shè)置將只能作用于所連容器中符合WMI要求的計算機。

　　     如：要求給所有客戶機滿足是winxp的機器安裝軟件。

　　    思考：圖書館或教室的計算機，要求不管什么域用戶登錄，將都會應(yīng)用本計算機的相應(yīng)策略。即原有用戶設(shè)置失效！--??啟用回環(huán)模式。

　　14. LOOPBACK模式：如果對一個容器的GPO設(shè)置了Loopback模式，則無論一個用戶賬號來自何處，則只要在該容器的計算機登錄到域，一定會受到該容器GPO的用戶策略的影響。（replace/merge兩種方式）

　　15.同步和異步：默認winxp是異步處理組策略。即先登錄，后刷新組策略。

　　16.禁用GPO?？梢葬槍σ粋€容器禁用GPO中的計算機配置或用戶配置或二者全禁。

　　17.改變管理GPO的DC：通過GPMC.msc或傳統(tǒng)工具完成。

　　18.組策略的委派管理：（為指定的域或OU指定相應(yīng)的組策略管理員）