組策略系列（二）基本概念

組策略系列（二）基本概念

1 組策略控制檯GPMC
啓動GPMC：開始->全部程序->管理工具->組策略。（圖1）

2 組策略對象GPO
組策略對象包括策略設置。你能夠想象組策略對象是一個應用到計算機或用戶設置的策略文檔，而組策略控制檯就像是瀏覽器。可使用組策略控制檯增長、移動和刪除組策略對象，就如同你增長、移動和刪除一個文件同樣。
在組策略控制檯，你能夠看到全部的組策略對象，如圖1：這裏有3個組策略對象：
Accounting Security：這是一個自定義的包含特殊的控制的組策略對象；
Default Domain Controller Policy：默認域控制器策略，在安裝域角色時默認安裝，該策略設置將應用到全部的域控制器上；
Default Domain Plicy：默認域策略。在安裝域角色時默認安裝，該策略將應用到域中全部計算機和域；

3 組策略鏈接GPlink
組策略對象須要鏈接到站點、域、組織單位上纔會對包含在其中的計算機或用戶產生影響。如圖1，2個組策略被鏈接：
一個是Default Domain Policy， 鏈接到crop.contoso.com域上。這個組策略對象將應用到域上的每一個計算機和用戶；
第二個是Accounting Security, 鏈接到Accounting組織單位上。這個組策略對象應用到組織單位中的每一個計算機和用戶。
在組策略控制檯，能夠分爲兩步增長和鏈接組策略對象，也能夠一步完成：直接右鍵增長並鏈接便可。

4 組策略繼承（圖2）
如前所述，將GPO鏈接到域，將應用到域上的每個OU和子OU包含的計算機和用戶，而鏈接到OU，將應用到該OU下全部子OU包含的計算機和用戶，這就是繼承的概念。

 
繼承和優先級
若是有多個組策略對象包含相同的設置會發生什麼呢？ 這時就要按照執行的優先順序，後來執行的設置的將覆蓋以前的設置，順序爲站點，域，組織單位，子組織單位，而最後執行的子OU上的GPO有最高的優先權，若有衝突，將覆蓋以前的設置。
對於同一個級別的GPO，低序列的後執行，所以在有衝突的時候將有更高的優先權，如圖，Windows Firewall Setting的設置比Default Domain Policy有更高的優先權。
多個GPO將使得排錯變得困難，所以強烈建議你們儘可能減小GPO數量。
策略和首選項發生衝突時，基於註冊表的策略（管理模板中）優先；
同一策略中，計算機策略優先；
可使用「禁止替代」和「阻止繼承」改變繼承；
不能阻止已設置爲「禁止替代」的策略。

5 組策略設置（圖3）

 在GPMC中右鍵GPO並點擊編輯後，將打開一個GPO的GPME（組策略管理編輯器），您能夠在其中進行編輯，當關閉時，GPME將自動保存改變而不須要手動保存。
如圖，1和2指向計算機設置和用戶設置。計算機設置包含了計算機的設置，而不管是哪一個用戶登陸，它傾向於對計算機的系統和安全設置。而用戶設置將應用到用戶，傾向於用戶的使用體驗。
在這兩個設置中，都含有2個子文件夾：
策略：策略的強制實施的設置，用戶界面被禁用，每90分鐘刷新一次。
首選項：並不是強制性，用戶界面不會被禁用，並且只能刷新一次或應用一次，經常使用語初始配置。將提供更細節的設置，能夠在無需學習腳本語言的狀況下，管理驅動器映射、註冊表設置、本地用戶和組、服務、文件和文件夾，而實現標準化管理或保護網絡安全。

6.而管理模板是基於註冊表的策略設置，不一樣於其餘策略設置（圖4）
1） 這些策略存儲在註冊表特殊的位置，叫作策略分支，標準用戶不能更改的；
2） 管理員模板文件，擴展名爲.admx，該文件是定義某些設置的模板。這些模板不但定義策略在註冊表的位置，並且還包含GPME的描述。如圖4 

當你編輯一個設置時，意味着：
1） Enable：用設置的enable值修改註冊表；
2） Disable：用設置的disable的值修改註冊表；
3） Not Configured：不修改註冊表的任何值，所以不會有任何效用；
通常你都須要寫一些幫助來講明好比數字5表明什麼，並且也要仔細地處理這些設置，由於它們都將用於修改某些註冊表的值。

組策略刷新
組策略會按期地刷新GPO， 以確保新的或修改過的GPO及時應用而不用等到計算機重啓或用戶註銷。刷新間隔默認是90分鐘。固然你也能夠用命令手動刷新：GPupdate /force。

組策略系列（一）概覽

組策略系列（二）基本概念

組策略系列（三）爲您深刻解析組策略應用過程

組策略系列（四）進階學習

組策略系列（五）軟件部署

組策略系列（六）工具

組策略系列（七）自定義編寫ADM模板