組策略系列(二)基本概念瀏覽器
1 組策略控制檯GPMC
啓動GPMC:開始->全部程序->管理工具->組策略。(圖1)
安全
2 組策略對象GPO
組策略對象包括策略設置。你能夠想象組策略對象是一個應用到計算機或用戶設置的策略文檔,而組策略控制檯就像是瀏覽器。可使用組策略控制檯增長、移動和刪除組策略對象,就如同你增長、移動和刪除一個文件同樣。
在組策略控制檯,你能夠看到全部的組策略對象,如圖1:這裏有3個組策略對象:
Accounting Security:這是一個自定義的包含特殊的控制的組策略對象;
Default Domain Controller Policy:默認域控制器策略,在安裝域角色時默認安裝,該策略設置將應用到全部的域控制器上;
Default Domain Plicy:默認域策略。在安裝域角色時默認安裝,該策略將應用到域中全部計算機和域;網絡
3 組策略鏈接GPlink
組策略對象須要鏈接到站點、域、組織單位上纔會對包含在其中的計算機或用戶產生影響。如圖1,2個組策略被鏈接:
一個是Default Domain Policy, 鏈接到crop.contoso.com域上。這個組策略對象將應用到域上的每一個計算機和用戶;
第二個是Accounting Security, 鏈接到Accounting組織單位上。這個組策略對象應用到組織單位中的每一個計算機和用戶。
在組策略控制檯,能夠分爲兩步增長和鏈接組策略對象,也能夠一步完成:直接右鍵增長並鏈接便可。編輯器
4 組策略繼承(圖2)
如前所述,將GPO鏈接到域,將應用到域上的每個OU和子OU包含的計算機和用戶,而鏈接到OU,將應用到該OU下全部子OU包含的計算機和用戶,這就是繼承的概念。
ide
繼承和優先級
若是有多個組策略對象包含相同的設置會發生什麼呢? 這時就要按照執行的優先順序,後來執行的設置的將覆蓋以前的設置,順序爲站點,域,組織單位,子組織單位,而最後執行的子OU上的GPO有最高的優先權,若有衝突,將覆蓋以前的設置。
對於同一個級別的GPO,低序列的後執行,所以在有衝突的時候將有更高的優先權,如圖,Windows Firewall Setting的設置比Default Domain Policy有更高的優先權。
多個GPO將使得排錯變得困難,所以強烈建議你們儘可能減小GPO數量。
策略和首選項發生衝突時,基於註冊表的策略(管理模板中)優先;
同一策略中,計算機策略優先;
可使用「禁止替代」和「阻止繼承」改變繼承;
不能阻止已設置爲「禁止替代」的策略。工具
在GPMC中右鍵GPO並點擊編輯後,將打開一個GPO的GPME(組策略管理編輯器),您能夠在其中進行編輯,當關閉時,GPME將自動保存改變而不須要手動保存。
如圖,1和2指向計算機設置和用戶設置。計算機設置包含了計算機的設置,而不管是哪一個用戶登陸,它傾向於對計算機的系統和安全設置。而用戶設置將應用到用戶,傾向於用戶的使用體驗。
在這兩個設置中,都含有2個子文件夾:
策略:策略的強制實施的設置,用戶界面被禁用,每90分鐘刷新一次。
首選項:並不是強制性,用戶界面不會被禁用,並且只能刷新一次或應用一次,經常使用語初始配置。將提供更細節的設置,能夠在無需學習腳本語言的狀況下,管理驅動器映射、註冊表設置、本地用戶和組、服務、文件和文件夾,而實現標準化管理或保護網絡安全。對象
6.而管理模板是基於註冊表的策略設置,不一樣於其餘策略設置(圖4)
1) 這些策略存儲在註冊表特殊的位置,叫作策略分支,標準用戶不能更改的;
2) 管理員模板文件,擴展名爲.admx,該文件是定義某些設置的模板。這些模板不但定義策略在註冊表的位置,並且還包含GPME的描述。如圖4 blog
當你編輯一個設置時,意味着:
1) Enable:用設置的enable值修改註冊表;
2) Disable:用設置的disable的值修改註冊表;
3) Not Configured:不修改註冊表的任何值,所以不會有任何效用;
通常你都須要寫一些幫助來講明好比數字5表明什麼,並且也要仔細地處理這些設置,由於它們都將用於修改某些註冊表的值。繼承
組策略刷新
組策略會按期地刷新GPO, 以確保新的或修改過的GPO及時應用而不用等到計算機重啓或用戶註銷。刷新間隔默認是90分鐘。固然你也能夠用命令手動刷新:GPupdate /force。
組策略系列(一)概覽
組策略系列(二)基本概念
組策略系列(三)爲您深刻解析組策略應用過程
組策略系列(四)進階學習
組策略系列(五)軟件部署
組策略系列(六)工具
組策略系列(七)自定義編寫ADM模板