组策略的处理规则.docVIP

组策略的处理规则 域控制器与域内计算机在处理、应用组策略时，有一定的程序与规则，只有详细了解这些程序与规则，才能充分的通过组策略来管理用户与计算机的环境。 一般的继承与处理规则 组策略的配置具有继承性，它的处理规则如下： 》如果父容器（high-level container）的某个策略被配置，但其子容器（low-level container）的策略未被配置，则子容器的这个策略将继承父容器的配置值。 》如果子容器的某个策略被配置，则止配置值会覆盖由其父容器所传递下来的配置值。 》组策略的配置有累加性（cumulative)。 但当域、站点与OU之间的GPO配置发生冲突时，则以处理顺序在后的GPO优先。系统处理GPO的优先顺序是： 站点的GPO、域的GPO、OU的GPO 因此 OU 的GPO被优先处理。 》系统是先处理“计算机配置”，再处理“用户配置”，如果组策略内的“计算机配置”与“用户配置”冲突时，虽然“用户配置”在后，但大部分情况下却是以”计算机配置“优先。 》如果你将多个GPO链接到同一个OU，那么所有GPO的配置将被累加起来，作为最后的有效配置值，如果这些GPO的配置相互冲突时，将以排在前面的GPO配置为优先。 提示：“本场计算机策略”的优先权最低，也就是说如果“本地计算机策略”内的配置值与站点、域或OU配置冲突时，站点、域或OU的配置优先、“本地计算机策略”的配置无效。 例外的继承配置 除了一般的继承与处理规则外，还可以配置以下的例外规则。 阻止策略继承 可以通过选择子容器内“阻止策略继承（Block Inheritance）”选项来设置不继承由父容器传递来的所有GPO配置，也就是直接以子容器的GPO作为配置值。如果子容器的GPO内设置为“尚未配置”，则采用默认值。 强制策略继承 强制策略继承（enforcing inheritance）是指可以在父容器中通过GPO的“禁止替代（No Override）”选项强制子容器必须继承（不准覆盖）此GPO内的组策略设定，而不论子容器是否设置了“阻止策略继承”。 过滤组策略配置 过滤组策略配置（Filtering Group Policy）是指在某个容器建立GPO后，此GPO的设置将被应用到这个容器内的所有用户和计算机。也可以让此GPO不应用到特定的用户或计算机，例如：“业务部”OU的GPO配置值内，可对所有业务部工作人员的工作环境做某些限制，但对业务部经理作此限制。 位于容器内的用户与计算机，默认地对该容器的GPO都具有“读取”与“应用组策略”权限，可以通过：在图所示中选中GPO-单击“属性”按钮-“安全”的方法来查看，图中的Authenticated Users表示所有经过身份确认的用户与计算机。若不想将此GPO的设置应用到此容器内的用户，只需单击“添加”按钮，选择用户，然后就用户的这两个权限设为“拒绝”即可。 特殊处理的设置 强制处理GPO 客户端的计算机在处理组策略的配置时，是将不同类型的策略交给不用的动态链接库（dynamice-link libraries，DLL）进行处理与应用，这些DLL被称为client-side extension，如图所示 但是，当某个xlinwr-aisw wzrwnsion在处理其所犯罪的策略时，只处理上次处理后的最新变动策略。这种做法虽然可以提高处理策略的效率，但有时候却无法达到预定的目的，例如，在GPO内对用户做了某项限制，而用户因这个策略受到限制之后，却自行将此限制删除，那么当下次用户端应用策略时，client-side extension会因为GOP内的策略配置值并没有变动而不处理此策略，因而无法自动将用户自行改变的配置恢复。 解决这个问题的方法是：强制要求client-side extension处理每一个策略，不论该策略的配置值是否变动，可以针对每一个client-side extension分别配置。例如：假设要求“业务部”OU内的每一台计算机在每一次处理、应用策略时，必须处理、应用与软件安装有关的策略，则其配置方法是：在如图所示“业务部GPO”的组策略编辑器对话框中执行“计算机配置”-“管理模板”-“系统”-“组策略”-“双击”软件安装策略处理。 ； 如果要让计算机强制处理、应用所有的计算机策略配置，可以利用gpupdate /target:computer /force命令，如果要应用所有的用户配置策略，可以利用：gpupdate /target:user /force命令。 将这些权限改为拒绝 将需要过滤的用户添加进去