组策略以某种方式应用于用户或计算机,而这种方式取决于用户和计算机对象位于 Active Directory 中的什么位置。 但在某些情况下,用户可能需要仅根据计算机对象的位置来应用策略。要想仅根据用户登录到哪个计算机来应用组策略对象 (GPO),可以使用组策略环回功能。

更多信息

要设置每台计算机的用户配置:

在“组策略”Microsoft 管理控制台 (MMC) 中,单击计算机配置。

找到管理模板,然后单击系统,再单击组策略,然后启用环回策略选项。

该策略将指示系统把该计算机的 GPO 集合应用于登录到受该策略影响的计算机的所有用户。 该策略特别适用于特殊用途的计算机,在这些地方,必须根据使用的计算机来修改用户策略,例如,位于公共场合、实验室和教室中的计算机。

备注: 只有纯粹基于 Windows 2000 的环境下才支持环回功能。 计算机帐户和用户帐户都必须位于 Active Directory 中。如果其中某个帐户是由 Microsoft Windows NT 4.0 域控制器管理的,那么,环回将无效。 客户端计算机必须是 Windows 2000 计算机。

当用户在自己的工作站上工作时,可能希望根据用户对象的位置来应用组策略设置。 因此,建议您以用户帐户所在的组织单元 (OU) 为单位来配置策略设置。但是,有可能出现这样的情况:计算机对象驻留在指定的 OU 中,而且根据计算机对象而不是用户对象来应用策略中的用户设置。

根据正常的组策略处理过程的指定,OU 中的计算机是在计算机启动期间按顺序来应用 GPO 的。 而 OU 中的用户则是在登录期间按顺序来应用 GPO 的,这与他们登录的是哪个计算机无关。

某些情况下,该处理顺序可能是不合适的,例如,一些应用程序已被指派或发布给在某些 OU 中的用户,但当他们登录到在某个特定 OU 中的计算机时,您并不想让这些应用程序安装在该计算机上。使用组策略环回支持功能,可以指定采用其它方式来为这个特定 OU 中的计算机的任何用户检索出针对他们的 GPO 列表,这些方式包括:

合并模式

在该模式中,当用户登录时,将通过使用 GetGPOList 函数正常收集用户的 GPO 列表。 然后,再次调用 GetGPOList 函数,在这次调用中使用计算机在 Active Directory 中的位置。 然后,计算机的 GPO 列表被添加到用户 GPO 的末尾。 这将导致计算机的 GPO 具有比用户的 GPO 更高的优先权。在该例中,计算机的 GPO 列表被添加到了用户的列表中。

替代模式

在该模式中,不收集用户的 GPO 列表。 只使用基于计算机对象的 GPO 列表。

环回组策略实例

实验环境中有一个域ess.com,建立了两个OU,分别为科力远与市场部,每个OU都建立了一个对应的组策略,科力远下面有用户user1 user2以及计算机edupc,在市场部下有计算机server08-2.

GPO:在科力远下面的用户策略指定用户的主页为www.baidu.com,禁止用户运行calc.exe

在市场部下面的用户策略指定用户的主页为www.corun.com,禁止用户运行notepad.exe

在默认情况下,使用user1登录到server08-2,会应用user1所在的OU科力远的GPO,即主页为www.baidu.com,不能运行calc.exe

但如果对市场部的GPO指定环回组策略,并且替换,那么不论哪个OU的用户登录到市场部的计算机,都会应用市场部的计算机组策略对象中定义的用户设置来替换登录用户本来的设置

结果:使用科力远下的user2登录到市场部的server08-2,会应用市场部的GPO中的用户策略,而不应用科力远下的用户策略,即主页为www.corun.com,不能运行notepad.exe