计算机的策略大体上分为四类,分别是本地策略,域策略,站点策略以及 OU 策略。其中本地策略是每台计算机都有的,而后三者只有在域环境下才有。他们的优先级顺序从低到高分别为: local policy (本地)- >site policy (站点)- >domain policy (域)- >ou policy (组织单元)。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 
当一台计算机处于工作组模式,它只会执行本地安全策略;当它处于域模式,则至少要执行本地安全策略和域安全策略;而当它处于域模式且为 DC Domain Controller ),则至少要执行本地安全策略、域安全策略和域控制器安全策略三个策略。由于处于域模式的计算机要执行多条策略,为了保证策略相互之间不冲突,必须采取相应的措施。默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是合并关系,即同时生效执行;但当产生冲突的时候,优先级高的策略会替代优先级低的策略。

 
为了尽量避免组策略之间的冲突,或者达到管理员组策略集中设定控制的目的,我们首先需要了解各个策略自身作用的范围(假定计算机处于域模式)。本地策略,即作用于本地计算机的策略,当域策略没有定义时执行该策略。域安全策略,即整个域的策略。域控制器安全策略,它属于 OU 策略的一种,只作用在 Domain Controller 这个组织单元( OU )上,即 Domain Controller 的组策略 ”Default Domain Controller Policy” 。换言之,修改域控制器安全策略和修改 Domain Controller 组织单元中的 ”Default Domain Controller Policy” 效果是一样的。除此之外,域控制器安全策略不与域安全策略冲突。而当本地策略与域安全策略冲突时,执行的是域安全策略。

 
下面我们通过一个简单的例子加以说明。假设域模式中,本地策略中帐户的密码长度最小值为 8 个字符,域安全策略中帐户的密码长度最小值为 10 个字符,而域控制器安全策略中帐户的密码长度最小值为 12 个字符。那么域中的所有计算机的密码长度最小值为 10 个字符,在本地通过运行 gpedit,msc 调用组策略控制台,查看相应的数值已改为 10 个字符,并且不允许本地修改此数值(显示为灰色锁定状态);而域控制器安全策略中没有改变,仍为 12 个字符。

 
最后,关于管理员如何有效地使用计算机策略达到相关管理目标,提以下几点:

1、   域模式中,如果要集中统一定制组策略,则在域安全策略中设定即可。

2、   域模式中,如果要针对不同用户进行组策略管理,则先划分不同的 OU ,然后设定相应 OU 的组策略即可。

3、   域模式中,如果不想对计算机进行组策略管理,则将域安全策略和域控制器安全策略设定为“没有定义”即可。

4、   工作组模式中,只能通过本地管理员进行单台组策略设定。