先列出各个策略的启动进程,其中“域控制器安全策略”&“域安全策略”的启动进程是带参数的
组策略:gpedit.msc
本地安全策略:secpol.msc
域控制器安全策略:dcpol.msc
dcpol.msc /gpobject:"LDAP://CN={...},CN=Policies,CN=System,DC=skagon,DC=com"
域安全策略:dompol.msc
dompol.msc /gpobject:"LDAP://CN={...},CN=Policies,CN=System,DC=skagon,DC=com"
它们的关系:
1、“本地安全策略”完全隶属于“组策略”,是“计算机设置”-“Windows设置”-“安全设置”的子项。
2、“域控制器安全策略"属于OU策略的一种,它仅仅作用在Domain Controller这个组织单元(ou)上。
3、域控制器安全策略仅更改域控制器的本地用户,而域安全策略控制整个域的用户。
一直在思考,在Domain Controller启动gpedit.msc设置,会怎样生效?答案其实很简单,这个时候把它看作域中的其他计算机一样,按照组策略的优先级顺序:
从低到高分别为:local policy(本地)->site policy(站点)->domain policy(域)->ou policy(组织单元)。
默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是合并关系;但当产生冲突的时候,优先级高的策略会替代优先级低的策略,也就是排在后面的生效。
组策略:gpedit.msc
本地安全策略:secpol.msc
域控制器安全策略:dcpol.msc
dcpol.msc /gpobject:"LDAP://CN={...},CN=Policies,CN=System,DC=skagon,DC=com"
域安全策略:dompol.msc
dompol.msc /gpobject:"LDAP://CN={...},CN=Policies,CN=System,DC=skagon,DC=com"
它们的关系:
1、“本地安全策略”完全隶属于“组策略”,是“计算机设置”-“Windows设置”-“安全设置”的子项。
2、“域控制器安全策略"属于OU策略的一种,它仅仅作用在Domain Controller这个组织单元(ou)上。
3、域控制器安全策略仅更改域控制器的本地用户,而域安全策略控制整个域的用户。
一直在思考,在Domain Controller启动gpedit.msc设置,会怎样生效?答案其实很简单,这个时候把它看作域中的其他计算机一样,按照组策略的优先级顺序:
从低到高分别为:local policy(本地)->site policy(站点)->domain policy(域)->ou policy(组织单元)。
默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是合并关系;但当产生冲突的时候,优先级高的策略会替代优先级低的策略,也就是排在后面的生效。