组策略系列（二）基本概念

组策略系列（二）基本概念

1 组策略控制台GPMC
启动GPMC：开始->全部程序->管理工具->组策略。（图1）

2 组策略对象GPO
组策略对象包括策略设置。你能够想象组策略对象是一个应用到计算机或用户设置的策略文档，而组策略控制台就像是浏览器。可使用组策略控制台增长、移动和删除组策略对象，就如同你增长、移动和删除一个文件同样。
在组策略控制台，你能够看到全部的组策略对象，如图1：这里有3个组策略对象：
Accounting Security：这是一个自定义的包含特殊的控制的组策略对象；
Default Domain Controller Policy：默认域控制器策略，在安装域角色时默认安装，该策略设置将应用到全部的域控制器上；
Default Domain Plicy：默认域策略。在安装域角色时默认安装，该策略将应用到域中全部计算机和域；

3 组策略链接GPlink
组策略对象须要链接到站点、域、组织单位上才会对包含在其中的计算机或用户产生影响。如图1，2个组策略被链接：
一个是Default Domain Policy， 链接到crop.contoso.com域上。这个组策略对象将应用到域上的每一个计算机和用户；
第二个是Accounting Security, 链接到Accounting组织单位上。这个组策略对象应用到组织单位中的每一个计算机和用户。
在组策略控制台，能够分为两步增长和链接组策略对象，也能够一步完成：直接右键增长并链接便可。

4 组策略继承（图2）
如前所述，将GPO链接到域，将应用到域上的每个OU和子OU包含的计算机和用户，而链接到OU，将应用到该OU下全部子OU包含的计算机和用户，这就是继承的概念。

 
继承和优先级
若是有多个组策略对象包含相同的设置会发生什么呢？ 这时就要按照执行的优先顺序，后来执行的设置的将覆盖以前的设置，顺序为站点，域，组织单位，子组织单位，而最后执行的子OU上的GPO有最高的优先权，若有冲突，将覆盖以前的设置。
对于同一个级别的GPO，低序列的后执行，所以在有冲突的时候将有更高的优先权，如图，Windows Firewall Setting的设置比Default Domain Policy有更高的优先权。
多个GPO将使得排错变得困难，所以强烈建议你们尽可能减小GPO数量。
策略和首选项发生冲突时，基于注册表的策略（管理模板中）优先；
同一策略中，计算机策略优先；
可使用“禁止替代”和“阻止继承”改变继承；
不能阻止已设置为“禁止替代”的策略。

5 组策略设置（图3）

 在GPMC中右键GPO并点击编辑后，将打开一个GPO的GPME（组策略管理编辑器），您能够在其中进行编辑，当关闭时，GPME将自动保存改变而不须要手动保存。
如图，1和2指向计算机设置和用户设置。计算机设置包含了计算机的设置，而不管是哪一个用户登陆，它倾向于对计算机的系统和安全设置。而用户设置将应用到用户，倾向于用户的使用体验。
在这两个设置中，都含有2个子文件夹：
策略：策略的强制实施的设置，用户界面被禁用，每90分钟刷新一次。
首选项：并不是强制性，用户界面不会被禁用，并且只能刷新一次或应用一次，经常使用语初始配置。将提供更细节的设置，能够在无需学习脚本语言的状况下，管理驱动器映射、注册表设置、本地用户和组、服务、文件和文件夹，而实现标准化管理或保护网络安全。

6.而管理模板是基于注册表的策略设置，不一样于其余策略设置（图4）
1） 这些策略存储在注册表特殊的位置，叫作策略分支，标准用户不能更改的；
2） 管理员模板文件，扩展名为.admx，该文件是定义某些设置的模板。这些模板不但定义策略在注册表的位置，并且还包含GPME的描述。如图4 

当你编辑一个设置时，意味着：
1） Enable：用设置的enable值修改注册表；
2） Disable：用设置的disable的值修改注册表；
3） Not Configured：不修改注册表的任何值，所以不会有任何效用；
通常你都须要写一些帮助来讲明好比数字5表明什么，并且也要仔细地处理这些设置，由于它们都将用于修改某些注册表的值。

组策略刷新
组策略会按期地刷新GPO， 以确保新的或修改过的GPO及时应用而不用等到计算机重启或用户注销。刷新间隔默认是90分钟。固然你也能够用命令手动刷新：GPupdate /force。

组策略系列（一）概览

组策略系列（二）基本概念

组策略系列（三）为您深刻解析组策略应用过程

组策略系列（四）进阶学习

组策略系列（五）软件部署

组策略系列（六）工具

组策略系列（七）自定义编写ADM模板