组策略应用范围.ppt

学习要点组策略概述组策略对象和管理模板账户和本地策略组策略应用第八章组策略电子信息系2009

一、组策略概述组策略是将系统重要的配置功能聚集成各种配置模块，供管理人员直接使用，从而到达方便管理计算机的目的。简单地说，组策略就是修改注册表中的配置。“只有你想不到的，没有组策略做不到的！”电子信息系2009

什么是组策略？域OU站点GPO管理员设置组策略客户端接收组策略onetomany管理方式组策略可以做：集中化管理管理用户环境降低管理用户的开销强制执行企业策略电子信息系2009

什么是组策略？(1)域组策略可以针对站点、域和组织单位设置。这些组策略的数据存储在活动目录内〔域控制器“%systemroot%\SYSVOL\sysvol\域名\Policies”目录下〕。(2)本地组策略，它是针对每一台Windows2003Serve所进行的设置。本地组策略数据存储在本地计算机的“%systemroot%\system32\GroupPolicy”目录内，只针对本地计算机和本地用户。电子信息系2009

组策略概述组策略的应用顺序与规那么本地计算机、站点、域和组织单位内分别设置了组策略，那么组策略的应用顺序为：1、本地组策略〔即本地平安策略，存储在本地计算机内〕；2、站点的组策略；3、域的组策略；4、组织单位的组策略总体原那么：后执行的优先级高电子信息系2009

组策略的应用顺序与规那么〔1〕在父容器内建立了一个组策略，但是并未在子容器建立组策略，那么子容器会继承在父容器内所建立的组策略〔2〕在子容器内建立了组策略，在默认情况下子容器的组策略那么要取代父容器的组策略。例如针对域和下面的组织单位都设置了组策略，那么组织单位的组策略会替代域的组策略。〔3〕如果父容器未被设置组策略，那么子容器不会继承父容器的组策略。〔4〕如果父容器设置了组策略，但是子容器内的组策略并未设置，那么子容器会继承父容器的组策略。电子信息系2009

组策略的应用顺序与规那么阻止策略的继承在子容器组策略内，可以通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置，也就是直接以子容器的组策略为其设置。强迫继承策略在父容器的组策略内，可以通过“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置，而不管子容器的组策略内是否设置了“阻止策略继承”，即“强迫继承”策略的优先级要高于“阻止策略的继承”。电子信息系2009

二、组策略对象和管理模板GPO组策略对象有两局部组成：〔1〕GPC组策略容器〔存储在AD中，保存版本信息〕〔2〕GPT组策略模板〔存储在SYSVOL文件中，保存组策略设置〕电子信息系2009

组策略对象链接DEMO：链接组织单位GPO组织单位GPO站点GPO域GPO站点域OUOUOU电子信息系2009

组策略对象和管理模板组策略包含：两种配置，三种状态Windowsserver2003目录包含了几个.adm文件。默认放在系统文件夹的INF文件夹中〔1〕system.adm〔2〕inetres.adm〔3〕wmplayer.adm〔4〕conf.adm电子信息系2009

组策略用户配置：管理模板软件设置Windows设置组策略计算机配置：软件设置Windows设置管理模板用户和计算机的配置设置电子信息系2009

组策略生效组策略的生效时间：计算机开机；用户登录域控制器每5分钟刷新一次；非域控制器90+30分钟一次；计算机系统每16个小时自动重启一次。运行命令gpupdate/force电子信息系2009

组策略对象链接冲突处理计算机策略覆盖用户策略不