组策略系列(二)基本概念

1 组策略控制台GPMC
启动GPMC:开始->所有程序->管理工具->组策略。(图1)

2 组策略对象GPO
组策略对象包括策略设置。你可以想象组策略对象是一个应用到计算机或用户设置的策略文档,而组策略控制台就像是浏览器。可以使用组策略控制台增加、移动和删除组策略对象,就如同你增加、移动和删除一个文件一样。
在组策略控制台,你可以看到所有的组策略对象,如图1:这里有3个组策略对象:
Accounting Security:这是一个自定义的包含特殊的控制的组策略对象;
Default Domain Controller Policy:默认域控制器策略,在安装域角色时默认安装,该策略设置将应用到所有的域控制器上;
Default Domain Plicy:默认域策略。在安装域角色时默认安装,该策略将应用到域中所有计算机和域;

3 组策略连接GPlink
组策略对象需要连接到站点、域、组织单位上才会对包含在其中的计算机或用户产生影响。如图1,2个组策略被连接:
一个是Default Domain Policy, 连接到crop.contoso.com域上。这个组策略对象将应用到域上的每个计算机和用户;
第二个是Accounting Security, 连接到Accounting组织单位上。这个组策略对象应用到组织单位中的每个计算机和用户。
在组策略控制台,可以分为两步增加和连接组策略对象,也可以一步完成:直接右键增加并连接即可。

4 组策略继承(图2)
如前所述,将GPO连接到域,将应用到域上的每一个OU和子OU包含的计算机和用户,而连接到OU,将应用到该OU下所有子OU包含的计算机和用户,这就是继承的概念。

 
继承和优先级
如果有多个组策略对象包含相同的设置会发生什么呢? 这时就要按照执行的优先顺序,后来执行的设置的将覆盖之前的设置,顺序为站点,域,组织单位,子组织单位,而最后执行的子OU上的GPO有最高的优先权,如有冲突,将覆盖之前的设置。
对于同一个级别的GPO,低序列的后执行,因此在有冲突的时候将有更高的优先权,如图,Windows Firewall Setting的设置比Default Domain Policy有更高的优先权。
多个GPO将使得排错变得困难,因此强烈建议大家尽量减少GPO数量。
策略和首选项发生冲突时,基于注册表的策略(管理模板中)优先;
同一策略中,计算机策略优先;
可以使用“禁止替代”和“阻止继承”改变继承;
不能阻止已设置为“禁止替代”的策略。

5 组策略设置(图3)

 在GPMC中右键GPO并点击编辑后,将打开一个GPO的GPME(组策略管理编辑器),您可以在其中进行编辑,当关闭时,GPME将自动保存改变而不需要手动保存。
如图,1和2指向计算机设置和用户设置。计算机设置包含了计算机的设置,而无论是哪个用户登录,它倾向于对计算机的系统和安全设置。而用户设置将应用到用户,倾向于用户的使用体验。
在这两个设置中,都含有2个子文件夹:
策略:策略的强制实施的设置,用户界面被禁用,每90分钟刷新一次。
首选项:并非强制性,用户界面不会被禁用,而且只能刷新一次或应用一次,常用语初始配置。将提供更细节的设置,可以在无需学习脚本语言的情况下,管理驱动器映射、注册表设置、本地用户和组、服务、文件和文件夹,而实现标准化管理或保护网络安全。

6.而管理模板是基于注册表的策略设置,不同于其他策略设置(图4)
1) 这些策略存储在注册表特殊的位置,叫做策略分支,标准用户不能更改的;
2) 管理员模板文件,扩展名为.admx,该文件是定义某些设置的模板。这些模板不但定义策略在注册表的位置,而且还包含GPME的描述。如图4 

当你编辑一个设置时,意味着:
1) Enable:用设置的enable值修改注册表;
2) Disable:用设置的disable的值修改注册表;
3) Not Configured:不修改注册表的任何值,因此不会有任何效用;
一般你都需要写一些帮助来说明比如数字5代表什么,而且也要仔细地处理这些设置,因为它们都将用于修改某些注册表的值。

组策略刷新
组策略会定期地刷新GPO, 以确保新的或修改过的GPO及时应用而不用等到计算机重启或用户注销。刷新间隔默认是90分钟。当然你也可以用命令手动刷新:GPupdate /force。

组策略系列(一)概览

组策略系列(二)基本概念

组策略系列(三)为您深入解析组策略应用过程

组策略系列(四)进阶学习

组策略系列(五)软件部署

组策略系列(六)工具

组策略系列(七)自定义编写ADM模板