系统内置的两个组策略
- Default Domain Policy:此GPO已经被连接到域,因此这个GPO内的设置值会被应用到域内的所有用户与计算机。
- Default Domain Controllers Policy:此GPO已经被连接到组织单位Domain Controllers,因此这个GPO的设置值会被应用到Domain Controlers内的所有用户与计算机。Domain Controllers 内默认只有扮演域控制器角色的计算机。
策略设置和首选项设置
首选项
只有域的组策略才有首选项设置功能,本地计算机策略无此功能
首选项设置是非强制性的,客户端可以更改设置值
策略设置
策略设置是强制性设置,客户端应用后就不可更改(有些设置值虽然客户端可更改,但是下一次组策略更新时,仍然会被更改为组策略设置的值)
策略设置优先级比首选项高
GPO内的计算机配置和用户配置应用时间时机不相同
计算机应用的时机
开机会自动应用
若计算机已经开机:
域控制器默认5分钟自动应用
非域控制器默认90~120分钟自动应用
不论策略设置值是否发生变化,每隔16小时都会自动应用一次安全设置策略
手动:gpupdate /target:computer /force
用户配置的应用时机
用户登录时自动应用
若用户已经登录,默认90~120分钟自动应用一次
不论策略设置值是否发生变化,每隔16小时都会自动应用一次安全设置策略
手动应用:gpupdate /target:user /force
手动同时应用计算机和用户组策略配置:gpupdate /force
组策略的处理规则
一般的处理规则
组织单位GPO>域GPO>站点GPO>计算机本地策略
若将多个GPO链接到一处,则有效设置是这些GPO的设置总和;但若GPO间有冲突,则链接顺序排在前面的GPO设置优先
阻止继承和强制继承策略
强制继承策略优先级大于阻止继承策略
过滤组策略设置
当针对组织单位创建组策略后,该组策略设置会应用到该OU下的所有计算机和用户;若想设置“不应用到该OU下的特定用户或计算机”,可通过设置GPO委派权限达到该目的
选择GPO“委派”,点击“高级”
选择“添加”
添加对应的用户名
勾选拒接应用组策略,确定