【Windows Server 2019】组策略基础——理论

目录

• 组策略基础
• 理论
• 1、组策略概述
• 1.1、定义
• 1.2、作用
• 1.3、分类
• 1.3.1、基于本地的组策略
• 1.3.2、基于域的组策略

组策略基础

理论

1、组策略概述

1.1、定义

组策略是一个能够让系统管理员充分控制和管理用户工作环境的功能。通过它来确保用户拥有受控制的工作环境，也通过它来限制用户，如此不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。[1]

1.2、作用

让管理员充分管理用户工作环境。组策略包括计算机配置和用户配置两个部分。其中计算机配置对计算机全局环境产生影响，用户配置对用户环境产生影响。

Q：如果同一条组策略的计算机配置与用户配置应用冲突，计算机会怎么么处理？

A：如果有冲突,系统会以禁用优先，也就是说计算机配置或用户配置只要有禁用选项就会以该选项优先。

1.3、分类

组策略分为基于本地的组策略和基于AD（活动目录）的域组策略。

1.3.1、基于本地的组策略

本地是指单一的计算机。用于设置本计算机的策略，策略只会应用于本计算机。本地策略中的计算机配置会被应用到这台计算机，用户配置会被应用到在这台计算机登录的所有用户。

（1）在DNS1上，使用【win + r】快捷键，打开【运行】对话框，输入命令：gpedit.msc。

1.3.2、基于域的组策略

在AD域中可以针对计算机、域或者组织单位来设置策略。其中域的组策略中的设置会被应用到域内所有的计算机和用户。而组织单位的组策略会被应用到该组织单位内的所有计算机和用户。

对于加入域的计算机来说，如果本地组策略的设置与域或组织单位的组策略设置发生冲突，以域或组织单位的组策略的设置优先。也就是此时本地组策略的设置是无效的。

（1）在DNS1上，使用【win + r】快捷键，打开【运行】对话框，输入命令：gpmc.msc。

活动目录中有两个内置的组策略对象：Default Domain Controllers Policy和Default Domain Policy。

【Default Domain Policy】默认已经被链接到域fjnu.local，其设置将会被应用到整个域内的所有用户域计算机中。

【Default Domain Controllers Policy】默认已经被链接到组织单位Domain Controllers，其设置会被应用到所有域控制器上。

创建新的组策略

（1）在域的【组策略对象】上点击鼠标右键，在弹出的菜单中选择【新建】

（2）在弹出的【新建GPO】中输入新建的组策略名称：testGPO，点击【确认】，即可创建一个名为testGPO的组策略对象。

（3）在【testGPO】上点击鼠标右键，选择【编辑】，即可对该组策略进行编辑

（4）该组策略对象包括计算机配置与用户配置两大部分。与本地策略相比，【软件设置】、【Windows设置】、【管理模板】被组织到【策略】下，新增了【首选项】部分。【首选项】包括【Windows设置】和【控制面板设置】。

【策略】是强制性，用户无法更改

【首选项】是非强制性，客户端可以自行更改设置值

如果策略和首选项对相同的选项设置了不同的值，以策略设置优先

（5）将组策略testGPO应用到组织单位fjnu_user中。在【fjnu_user】上点击鼠标右键，选择【链接现有GPO】

（6）在打开的【选择GPO】界面中，选择刚才创建并编辑的组策略testGPO，点击【确认】，即可将testGPO应用到fjnu_user上。

以后对组策略testGPO的所有设置，均将作用于fjnu_user内的所有计算机和用户上，不会对其他计算机和用户有影响。