组策略对象的存储及加载继承.docx

组策略对象的存储及加载继承一、组策略对象的存储：（GPC+GPT）??? 我们通过GPMC.msc新建一个组策略后，其实是建了一个GPO（组策略对象），那我们平时所说的其实就是GPO。??? 那我们可以在哪些容器上链接GPO呢？我们只能在LSDOU这几个容器上链接GPO。即Local、Site、Domain、OU（组织单位）如下图所示：是一个新建并链接GPO的例子这个GPO，其实是由GPC（组策略容器）和GPT（组策略模板）组成的。GPC存储在活动目录数据库，提供版本信息，状态信息及相关属性信息．GPT存储在存储在域控的SYSVOL共享中，存储组策略设置的地方，包括管理模板、脚本、软件、安装、文件夹重定向等调置。那我们查看一下吧，对于GPO如下图所示：注意一下这个唯一的名称就是这个组策略的GUID查看GPC，需要打开ADUC后，选择“查看”---高级功能后，可以展开如下所示：这个以6CB开头的就是我们刚建的组策略查看GPT需要打开如下共享共享，在这里有对应的GPT，打开如图所选的这个，能看到有关具体的配置文件夹（第二个就是）。二、组策略的加载过程：?我们知道了GPO的组成后，下面我们来看一下，一个用户或计算机是如何加载具体的GPT的呢？其实不管用户或计算机总会属于一个容器，如OU或域，如果用户属于域，那么在它登录到域的过程中，它要检查该域（容器）的属性值中gplink的内容，看该容器链接了几个GPO，如下图所示：打开adsi edit控制台，查看我们刚建组策略的OU的属性知道链接了哪几个GPO后，就会去找这几个GPO，具体的找的顺序一般按LSDOU的顺序去找，后面我会再介绍这块内容。通过GPLink的属性值我们知道具体应用的GPO了，我们就在如下图所示，右击该GPO的GPC的属性，找versionnumber值，该用户会把自己versionnumber和它作比较，如果这里的新，就会通过找该GPC的属性中的gPCFileSysPath属性值来应用具体的GPT的设置。如下面两个图所示：当然是应用计算机配置还是用户配置，还是要看具体的配置。如果该用户所在的容器链接的有GPO，并且在其GPT里有相应的“用户配置”，就会应用该用户配置;如果用户登录的计算机所在的容器链接的有GPO，并且在其GPT里有相应的“计算机配置”，就会应用该计算机配置。二者全部应用也有可能，即同时加载用户配置和计算机配置。a)计算机配置:对计算机的相应设置，原则上无论是哪些用户在这些计算机上登录，都将加载此设置。b)用户配置：对用户的相应设置，原则上无论这些用户在哪些计算机上登录，都将加载这些设置。组策略的应用的容器：本地组策略－站点级别的组策略－域级别的组策略－OU级别的组策略，即LSDOU原则，GPO只能链接到这些容器上，而应用或加载的顺序是先加载Local，再加载site的，再加载域的，最后再加载OU、子OU的。如果在同一个容器上用多条GPO，则处于列表最高位的最后加载。（一句话：最后加载的优先级最高，也就是说，如果多条策略设置冲突，则这些冲突的组策略中，最后加载的设置生效）三、组策略对象的继承：默认下继承顺序LSDOU。即下级容器会继承上级容器的组策略。也就是说如果各级组策略的设置不冲突，则最终用户或计算机将应用所有组策略的设置（在默认情况下）。四、GPO的冲突处理1)?计算机策略覆盖用户策略（如果同一条策略，计算机和用户策略冲突）2)?不同容器上的策略产生冲突，子容器上的GPO优先级高。3)?同一容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高。总体原则：后执行的优先级最高。五、实施条件：1）计算机和用户必须位于GPO有链接的SDOU容器内。2）必须对GPO要有读取和应用组策略的权限。（authenticated users默认包括所有计算机和用户，具有此权限）。如果我们不想让一个用户应用此GPO的设置，我们可以通过上面的委派项，进行详细的设置，给这个用户“拒绝读取组策略”的权限就可以了。在这个域内拒绝李四这个用户应用此OU级别的GPO设置，如下操作即可。