组策略

每个组策略对象只分配或发行一次

Windows 安装程序包和组策略对象一样，最多只能分配或发行一次。例如，如果将 Microsoft Office 分配给受组策略对象影响的计算机，则不能再将它分配或发行给受组策略对象影响的用户。

使用安全组筛选组策略

由于组策略可以把来自多个组策略对象的设置应用于站点、域或单位，因此可以添加和其他目录对象关联的组策略对象。也可以优先考虑这些组策略对象如何影响要应用它们的目录对象。

在 Windows 2000 中，计算机属于安全组。管理员可以使用安全组进一步精炼组策略对象影响的计算机和用户。对于任何组策略对象，管理员都可以筛选组策略对象对作为安全组成员的计算机的影响。使用标准访问控制 (ACL) 编辑器进行筛选。要使用 ACL 编辑器，请单击组策略对象的属性页，然后单击“安全”。管理员也可以用 ACL 编辑器委派由谁修改组策略对象。

意图 设置这些权限 结果

意图：安全组的成员应该将该组策略对象应用到它们当中。设置这些权限：将“应用组策略”设置为“允许”。将“读取”设置为“允许”。　结果：除非这个安全组的成员至少是将“应用组策略”设置为“拒绝”、或将“读取”设置为“拒绝”、或将二者均设置为“拒绝”的其他一个安全组的成员，否则这个组策略对象会应用到安全组的所有成员中。

意图：安全组的成员从这个组策略对象中删除。设置这些权限：将“应用组策略”设置为“拒绝”。 将“读取”设置为“拒绝”。　结果：不管这个安全组中的成员在其他安全组中拥有什么权限，该组策略对象永远不会应用到这个安全组的成员中。

意图：安全组中的成员身份与是否应用组策略对象无关。设置这些权限：将“应用组策略”设置为既不“允许”也不“拒绝”。 将“读取”设置为既不“允许”也不“拒绝”。结果：当且仅当这个安全组中的成员将“应用组策略”和“读取”都设置为“允许”作为至少是其他一个安全组的成员时，该组策略对象才会应用于这个安全组的成员。作为其他任何一个安全组的成员，这个安全组中的成员不得将“应用组策略”或“读取”设置为“拒绝”。

只能将“组策略”对象应用于站点、域和组织单位。组策略设置只影响它们所包含的用户和计算机。组策略对象尤其不适用于安全组。

如果用户或计算机不能通过直接链接或间接继承的方式加入符合组策略的站点、域或组织单位中，则不存在任何安全组的权限组合，可使这些组策略设置对该用户或计算机产生影响。

正如此过程中所描述的那样，在组策略对象级别的筛选不管是否进行处理，都把组策略对象作为一个整体。软件安装及文件夹重定向扩展使用安全组精心设计组策略对象级别以外的控制。除了文件夹重定向和软件安装之外，安全组不用于筛选组策略对象的个别设置或子集。而对于个别设置的控制，则通过编辑或创建组策略对象来实现。

组策略设置定义了系统管理员需要管理的用户桌面环境的多种组件，例如，用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。使用组策略管理单元，可以为特定用户组创建特定的桌面配置。所指定的组策略设置包含在组策略对象中，而组策略对象又和所选择的站点、域或组织单位的 Active Directory 对象相关联。

组策略包括影响用户的“用户配置”和影响计算机的“计算机配置”。

策略按如下顺序应用：

唯一的本地组策略对象。

站点组策略对象，按照行政管理指定的顺序。

域组策略对象，按照行政管理指定的顺序。

对于组织单位组策略对象，按照从大组织单位到小的组织单位顺序（从父组织单位到子组织单位），而在每个组织单位级别中，则按照行政管理指定的顺序。

默认情况下，这些策略不一致时，后应用的策略将覆盖以前应用的策略。但是，如果这些设置不一致，前后的策略都将作为有效策略。

本地和非本地组策略对象

有两种组策略对象。存储在域控制器中的非本地组策略对象只能在 Active Directory 环境下使用。它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。

本地组策略对象存储在所有运行 Windows 2000 的计算机上。一个本地组策略对象只能存在于一台计算机上，而且该对象在非本地组策略对象中有一个可用的设置子集。如果二者的设置发生冲突，非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突，则都可以应用。

策略继承

通常，组策略由父容器传到子容器。如果为一个高级别的父容器指派特定的“组策略”，则这个组策略适用于该父容器下的所有容器，包括每个容器中的用户和计算机对象。但是，如果您明确为某个子容器指定组策略设置，则子容器的组策略设置将覆盖父容器的设置。

如果父组织单位具有没有配置的策略设置，则子组织单位将不能继承这些组织单位。禁用的策略设置继承后也是禁用的。如果为父组织单位配置了一项策略，而在子组织单位中没有配置相同的策略，那么子组织单位将继承父组织单位的策略设置。

如果父策略和子策略是兼容的，那么子级可以继承父策略，其子设置也是可用的。只要策略兼容，它们就可以继承。例如，如果父策略将某个文件夹放在桌面上，而子级设置则使用另外一个文件夹，这时用户会同时看到两个文件夹。

如果为父组织单位配置的策略和子组织单位配置的同一策略不兼容，子级将不能继承父级的策略设置。子级中的设置是可用的。

 

启动和登录中的事件顺序

下面的系列显示了在计算机启动和用户登录时计算机策略和用户策略的应用顺序：

1、网络启动。远程过程调用系统服务 (RPCSS) 和多重通用命名规范提供程序 (MUP) 将启动。

2、获得该计算机的组策略对象有序列表。该列表可能取决于下列因素：

　计算机是否为 Windows 2000 域的一部分，并且是否因此通过 Active Directory 受组策略的控制。

　计算机在 Active Directory 中的位置。

　如果组策略对象列表没有更改，则不进行处理。可以使用策略设置更改该行为。

3、计算机策略已得到应用。这些都是收集的列表中“计算机配置”下的设置。默认情况下这些操作将同步进行，顺序如下：本地、站点、域、组织单位、子组织单位等。处理计算机策略时不显示用户界面。

4、启动脚本开始运行。在默认情况下这是隐藏而且同步进行的。每个脚本在下一个脚本开始执行之前要么必须完成，要么做超时处理。默认超时时间为 600 秒。可以使用多种策略设置更改该行为。

5、用户按 CTRL-ALT-DEL 键登录。

6、用户验证身份之后，将加载由当前生效的策略设置控制的用户配置文件。

7、用户可获得组策略对象的有序列表。该列表可能取决于下列因素：

　用户是否为 Windows 2000 域的一部分，而且是否因此通过 Active Directory 受组策略的控制。

　是否启用环回以及环回策略设置的状态（“合并”或“替换”）。

　用户在 Active Directory 中的位置。

　如果要应用的组策略对象的列表没有更改，则不进行处理。可以使用策略设置更改该行为。

8、用户策略已被应用。这些都是收集的列表中“用户配置”下的设置。默认情况下这些操作将同步进行，顺序如下：本地、站点、域、组织单位、子组织单位等。处理用户策略时不显示用户界面。

9、登录脚本开始运行。与 Windows NT 4.0 脚本不同，基于组策略的登录脚本在默认情况下是隐藏并且异步运行的。用户对象脚本（在 Windows NT 4.0 中以正常窗口运行）最后运行。

10、显示由组策略预定义的操作系统用户界面。

 

默认情况下，只能在持有主域控制器模拟器操作主机令牌的域控制器上创建或编辑组策略对象。这个令牌随时间变化从一台域控制器移动到另一台域控制器，同时复制 Active Directory 信息以使域控制器保持同步状态。

在此处创建的组策略对象链接到组织单位之前，必须将该组织单位复制到持有令牌的域控制器上，这样才能应用组策略设置。

尽管组策略对象只作为单独域上的存储实体而存在，并且当受影响的客户读取链接站点的组策略时必须从该域读取，但是它允许林中的多个域获得相同的组策略对象（以及所包括的策略）。

在启动期间同步应用用户组策略

指示系统等到组策略更新完成之后才显示登录提示。该策略仅适用于出现在“用户配置”文件夹中的组策略设置。如果启用该策略，则直到用户组策略设置更新之后用户才可以登录。

如果禁用该策略，则系统不等到策略更新完成便邀请用户登录。结果，“登录到 Windows”对话框可能很快出现，但是在所有策略被应用之前，Windows 界面可能已经准备好。 为确定系统是否使计算机策略和 Windows 资源管理器同步，请查看“在启动期间同步应用计算机组策略”。

考虑通知用户他们的策略被定期更新，以便他们能够识别策略更新的记号。当组策略更新时，Windows 桌面将被更新，它会瞬间闪烁并关闭打开的菜单。另外，组策略设置的强制限制，例如对用户可运行程序的限制，可能会妨碍正在进行中的任务。

“定期在后台处理期间不应用此策略”选项防止系统在计算机使用的同时在后台更新受影响的策略。后台更新可以中断用户，导致程序停止运行或者操作异常，在少数情况下甚至会破坏数据。