组策略是Windows的一项功能,可以统一对用户或计算机进行配置管理。组策略中最基本的组件是策略,策略顶一楼要应用的配置变动情况。策略的设置都是保存在组策略对象中(GPO)。在组策略中又分计算机配置和用户配置。用户配置是种的设置是针对用户,无论用户登录到那台计算机都将会应用,用户配置需要链接到用户账号所在OU才生效。计算机配置则是针对计算机,无论哪个用户登录到计算机都将会应用,需要链接到计算机账号所在的OU才生效。
一、WindowsServer2012中组策略的新功能
1.组策略更新。
在之前,当管理发布一个组策略后,如果需要立即应用,一般都是在使用gpupdate/force进行强制刷新。在WindowsServer2012中可以直接在控制台刷新就可以,为特定OU内所有计算机更新组策略,而不需要等90分钟来在整个网络中刷新。该操作会在目标OU内的计算机中产生2个列表形式的任务,所以客户端防火墙必须开放相应的设置,确保DC能连通客户端。
2.组策略复制状态
WindowsServer2012在组策略对象的状态标签中可以直观的看到AD和Sysvol(DFSR)的复制及组策略有关的状态。因为AD的复制决定了组策略能否在域内应用的关键,这也是一个非常方便的故障诊断工具。
WindowsServer2012组策略的更新不止上述两点,有关更多的更新请参考http://technet.microsoft.com/zh-cn/library/jj574108.aspx
二、组策略作用域
1.组策略的作用域决定了哪些AD对象才会应用该策略。
2.组策略的继承和优先级
在同一个OU可能会被链接或应用多个GPO,因此有些设置可能会产生冲突。在这种情况下,GPO的优先级决定客户端最终应用哪个设置。具有较高优先级的GPO将覆盖较低优先级的GPO。在GPMC中,数字越小表示GPO的优先级越高。
注意:如果优先级较高的GPO中某一策略设置为“未配置”,而优先级较低的GPO中该策略被设置过(无论是启用或禁用),那么优先级较低的GPO中设置的策略将生效。
3.组策略的处理顺序
默认的组策略处理顺序是:本地---站点--域--OU。
如果需要一个OU只应用链接到该OU的策略,则可以在该OU上选择“阻止继承”。
如果针对企业做一些策略设置确保不被其他策略所覆盖,则可以对该GPO启用“强制”。启动强制后,该GPO具有最高优先级,这样的GPO中包含的策略设置将覆盖其他GPO中任何产生冲突的设置。强制GPO会直接应用给OU内的子对象,包括已经设置为阻止继承的OU。
4.在安全筛选中修改GPO的作用域
默认情况下GPO会应用给所有经过认证的用户,也就是AuthenticatedUsers组。如果只需要应用到特定的对象,把AuthenticatedUsers删除,然后添加需要应用的用户、组或计算机对象即可。
如果需要排除特定的用户、组或计算机应用该策略,则可以在委派便签中添加权限即可。
三、组策略工具介绍
1.策略结果集
策略结果集(RSoP)可用于对组策略设置的应用进行评估、建模和排错。RSoP可以查询本地或远程计算机是否正确应用到所配置的策略。
a.在GPMC中使用组策略结果集,在GPMC中右击“组策略结果”,选择“组策略结果向导”,在向导中选择本地或远程计算机即可。
完成上述步骤后可以在结果集查看策略应用的详细信息。
b.在客户端中则可以直接在运行中输入:rsop.msc进行查看组策略结果集,在组策略排错中也能起到很大作用。
本文只对组策略的一些概念及功能介绍,组策略中大概有4500多个设置,这里无法一一介绍,需要大家在日常管理过程中去发掘组策略的强大功能。恰当的组策略配置,能给管理员减少很大的工作量,也能实现对用户或客户端进行企业统一管理。
本文出自“蜡笔小牛”博客,请务必保留此出处http://labixiaoniu.blog.51cto.com/695063/1270421
转载于:https://blog.51cto.com/labixiaoniu/1270421
1434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
