组策略系列之四:《精典放送:组策略管理20点》
生活随笔
收集整理的這篇文章主要介紹了
组策略系列之四:《精典放送:组策略管理20点》
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
我們都知道,組策略能給我們對域內(nèi)計(jì)算機(jī)和用戶管理帶來不可估量的好處,通過前面三次課,我們基本上對組策略有了大致的認(rèn)識,在這里我總結(jié)了組策略的20條使用規(guī)則,相信各位應(yīng)用組策略之后,讀過一定會給你帶來不小的收獲。在后期的課程里,我會圍繞著這些規(guī)則展開講解。 1. GPO=GPC+GPT (理解GPO的應(yīng)用過程) 見系列之二
2. 當(dāng)計(jì)算機(jī)開機(jī)或用戶登錄時(shí),組策略的應(yīng)用順序:Local--->site--->domain--->OU--->子OU????
3. GPO只能鏈接到容器上(即LSDOU),只能對容器里面的計(jì)算機(jī)或用戶生效,而對組無效。
4. 組策略的生效原則: 見系列之三
a.用戶和計(jì)算機(jī)必須在其對應(yīng)的容器下面。
用戶會應(yīng)用其GPO中的用戶配置,而不管用戶在哪臺計(jì)算機(jī)上登錄。
計(jì)算機(jī)會應(yīng)用其GPO中的計(jì)算機(jī)配置,而不管哪個(gè)用戶登錄。
b.默認(rèn)狀態(tài)下,GPO會應(yīng)用在authenticated users組(即所有域用戶和域計(jì)算機(jī),默認(rèn)下此組用戶可以讀取和應(yīng)用組策略)
5. 組策略的生效時(shí)間:
a. 計(jì)算機(jī)策略設(shè)置:計(jì)算機(jī)啟動、手動刷新(gpupdate /force)、90-120分鐘后臺周期刷新。
b. 用戶策略設(shè)置:用戶登錄、手動刷新(gpupdate /force)、90-120分鐘后臺刷新。
c. DC的策略設(shè)置:5分鐘后臺周期刷新。
6. 累加性:如果各級容器的GPO的策略設(shè)置沒有沖突,則累加。(默認(rèn)狀態(tài)下)
7. 如果各級容器的GPO的策略設(shè)置發(fā)生沖突,則以范圍小的GPO策略為準(zhǔn)。(默認(rèn))
8. 若一個(gè)容器上鏈接多個(gè)GPO,設(shè)置不沖突,則累加;若設(shè)置沖突,則以列表中最上面的優(yōu)先(即最后執(zhí)行的優(yōu)先)(默認(rèn))
9. 若計(jì)算機(jī)策略和用戶策略沖突,則計(jì)算機(jī)設(shè)置覆蓋用戶設(shè)置。
10. 調(diào)整組策略的應(yīng)用順序:
阻止繼承:在子容器上啟用(將阻止掉所有上級容器的策略,只應(yīng)用本容器的GPO設(shè)置)
強(qiáng)制(禁止替代):在父容器的某個(gè)GPO上啟用(此GPO優(yōu)先級最高,如果沖突,以此為準(zhǔn),其它不沖突的將累加)
“阻止繼承”不能阻止上級容器所做的“強(qiáng)制”的GPO。(即若二者同時(shí)啟用,以強(qiáng)制的為準(zhǔn))
若多個(gè)容器的GPO設(shè)為“強(qiáng)制”時(shí),以先被應(yīng)用的為準(zhǔn)。
11.查看計(jì)算機(jī)或用戶應(yīng)用組策略的結(jié)果:gpresult/組策略結(jié)果集(MMC、幫助中)
12.組策略的安全過濾:如果一個(gè)用戶帳號位于一個(gè)GPO相連的容器里,但不在security filtering里,則該用戶不受到該GPO的影響。
?
13.WMI篩選:如果在一個(gè)GPO上連接了一個(gè)WMI過濾器,則該GPO的設(shè)置將只能作用于所連容器中符合WMI要求的計(jì)算機(jī)。
如:要求給所有客戶機(jī)滿足是winxp的機(jī)器安裝軟件。
思考:圖書館或教室的計(jì)算機(jī),要求不管什么域用戶登錄,將都會應(yīng)用本計(jì)算機(jī)的相應(yīng)策略。即原有用戶設(shè)置失效!--?啟用回環(huán)模式。
14. LOOPBACK模式:如果對一個(gè)容器的GPO設(shè)置了Loopback模式,則無論一個(gè)用戶帳號來自何處,則只要在該容器的計(jì)算機(jī)登錄到域,一定會受到該容器GPO的用戶策略的影響。(replace/merge兩種方式)
15.同步和異步:默認(rèn)winxp是異步處理組策略。即先登錄,后刷新組策略。
16.禁用GPO。可以針對一個(gè)容器禁用GPO中的計(jì)算機(jī)配置或用戶配置或二者全禁。
?
17.改變管理GPO的DC:通過GPMC.msc或傳統(tǒng)工具完成。
18.組策略的委派管理:(為指定的域或OU指定相應(yīng)的組策略管理員)
三種權(quán)限的管理員:
可以為OU創(chuàng)建并鏈接,并編輯、刪除(完全權(quán)限)--》domain admins
可以為OU創(chuàng)建并鏈接、編輯、刪除(自己創(chuàng)建的)--》將用戶加入到Group Policy Creator Owners組
可以為指定OU鏈接已有GPO,并可以刪除GPO的鏈接,但不能編輯
19.低速鏈路配置組策略:注冊表策略進(jìn)程、安全策略進(jìn)程。仍將處理。
?
20.組策略的復(fù)制、粘貼、備份、恢復(fù)、導(dǎo)入等:利用GPMC.msc
復(fù)制、粘貼:可以在同一域內(nèi)操作,也可跨域、跨林操作。
備份、恢復(fù):
a. 可以執(zhí)行某個(gè)GPO的備份,也可以同時(shí)執(zhí)行多個(gè)GPO的備份或所有GPO的備份。
b. 備份內(nèi)容:GPO設(shè)置、名稱等,但不備份GPO到某個(gè)容器的鏈接。
c. 還原不可跨域操作,但導(dǎo)入可以跨域操作。
** 如果父子域中,子域如果要用父域的GPO,應(yīng)該在父域上備份,然后導(dǎo)入到子域或通過復(fù)制和粘貼方式處理。不要做直接鏈接。
注:
a. 有些設(shè)置不能對低客戶端生效。
b. 有些設(shè)置不能對慢速鏈路用戶生效。
c. 還原默認(rèn)的兩條組策略對象GPO:dcgpofix 本文出自 “千山島主之微軟技術(shù)空間站” 博客,請務(wù)必保留此出處http://jary3000.blog.51cto.com/610705/126742
2. 當(dāng)計(jì)算機(jī)開機(jī)或用戶登錄時(shí),組策略的應(yīng)用順序:Local--->site--->domain--->OU--->子OU????
3. GPO只能鏈接到容器上(即LSDOU),只能對容器里面的計(jì)算機(jī)或用戶生效,而對組無效。
4. 組策略的生效原則: 見系列之三
a.用戶和計(jì)算機(jī)必須在其對應(yīng)的容器下面。
用戶會應(yīng)用其GPO中的用戶配置,而不管用戶在哪臺計(jì)算機(jī)上登錄。
計(jì)算機(jī)會應(yīng)用其GPO中的計(jì)算機(jī)配置,而不管哪個(gè)用戶登錄。
b.默認(rèn)狀態(tài)下,GPO會應(yīng)用在authenticated users組(即所有域用戶和域計(jì)算機(jī),默認(rèn)下此組用戶可以讀取和應(yīng)用組策略)
5. 組策略的生效時(shí)間:
a. 計(jì)算機(jī)策略設(shè)置:計(jì)算機(jī)啟動、手動刷新(gpupdate /force)、90-120分鐘后臺周期刷新。
b. 用戶策略設(shè)置:用戶登錄、手動刷新(gpupdate /force)、90-120分鐘后臺刷新。
c. DC的策略設(shè)置:5分鐘后臺周期刷新。
6. 累加性:如果各級容器的GPO的策略設(shè)置沒有沖突,則累加。(默認(rèn)狀態(tài)下)
7. 如果各級容器的GPO的策略設(shè)置發(fā)生沖突,則以范圍小的GPO策略為準(zhǔn)。(默認(rèn))
8. 若一個(gè)容器上鏈接多個(gè)GPO,設(shè)置不沖突,則累加;若設(shè)置沖突,則以列表中最上面的優(yōu)先(即最后執(zhí)行的優(yōu)先)(默認(rèn))
9. 若計(jì)算機(jī)策略和用戶策略沖突,則計(jì)算機(jī)設(shè)置覆蓋用戶設(shè)置。
10. 調(diào)整組策略的應(yīng)用順序:
阻止繼承:在子容器上啟用(將阻止掉所有上級容器的策略,只應(yīng)用本容器的GPO設(shè)置)
強(qiáng)制(禁止替代):在父容器的某個(gè)GPO上啟用(此GPO優(yōu)先級最高,如果沖突,以此為準(zhǔn),其它不沖突的將累加)
“阻止繼承”不能阻止上級容器所做的“強(qiáng)制”的GPO。(即若二者同時(shí)啟用,以強(qiáng)制的為準(zhǔn))
若多個(gè)容器的GPO設(shè)為“強(qiáng)制”時(shí),以先被應(yīng)用的為準(zhǔn)。
11.查看計(jì)算機(jī)或用戶應(yīng)用組策略的結(jié)果:gpresult/組策略結(jié)果集(MMC、幫助中)
12.組策略的安全過濾:如果一個(gè)用戶帳號位于一個(gè)GPO相連的容器里,但不在security filtering里,則該用戶不受到該GPO的影響。
?
13.WMI篩選:如果在一個(gè)GPO上連接了一個(gè)WMI過濾器,則該GPO的設(shè)置將只能作用于所連容器中符合WMI要求的計(jì)算機(jī)。
如:要求給所有客戶機(jī)滿足是winxp的機(jī)器安裝軟件。
思考:圖書館或教室的計(jì)算機(jī),要求不管什么域用戶登錄,將都會應(yīng)用本計(jì)算機(jī)的相應(yīng)策略。即原有用戶設(shè)置失效!--?啟用回環(huán)模式。
14. LOOPBACK模式:如果對一個(gè)容器的GPO設(shè)置了Loopback模式,則無論一個(gè)用戶帳號來自何處,則只要在該容器的計(jì)算機(jī)登錄到域,一定會受到該容器GPO的用戶策略的影響。(replace/merge兩種方式)
15.同步和異步:默認(rèn)winxp是異步處理組策略。即先登錄,后刷新組策略。
16.禁用GPO。可以針對一個(gè)容器禁用GPO中的計(jì)算機(jī)配置或用戶配置或二者全禁。
?
17.改變管理GPO的DC:通過GPMC.msc或傳統(tǒng)工具完成。
18.組策略的委派管理:(為指定的域或OU指定相應(yīng)的組策略管理員)
三種權(quán)限的管理員:
可以為OU創(chuàng)建并鏈接,并編輯、刪除(完全權(quán)限)--》domain admins
可以為OU創(chuàng)建并鏈接、編輯、刪除(自己創(chuàng)建的)--》將用戶加入到Group Policy Creator Owners組
可以為指定OU鏈接已有GPO,并可以刪除GPO的鏈接,但不能編輯
19.低速鏈路配置組策略:注冊表策略進(jìn)程、安全策略進(jìn)程。仍將處理。
?
20.組策略的復(fù)制、粘貼、備份、恢復(fù)、導(dǎo)入等:利用GPMC.msc
復(fù)制、粘貼:可以在同一域內(nèi)操作,也可跨域、跨林操作。
備份、恢復(fù):
a. 可以執(zhí)行某個(gè)GPO的備份,也可以同時(shí)執(zhí)行多個(gè)GPO的備份或所有GPO的備份。
b. 備份內(nèi)容:GPO設(shè)置、名稱等,但不備份GPO到某個(gè)容器的鏈接。
c. 還原不可跨域操作,但導(dǎo)入可以跨域操作。
** 如果父子域中,子域如果要用父域的GPO,應(yīng)該在父域上備份,然后導(dǎo)入到子域或通過復(fù)制和粘貼方式處理。不要做直接鏈接。
注:
a. 有些設(shè)置不能對低客戶端生效。
b. 有些設(shè)置不能對慢速鏈路用戶生效。
c. 還原默認(rèn)的兩條組策略對象GPO:dcgpofix 本文出自 “千山島主之微軟技術(shù)空間站” 博客,請務(wù)必保留此出處http://jary3000.blog.51cto.com/610705/126742
轉(zhuǎn)載于:https://blog.51cto.com/nzm1991/390196
總結(jié)
以上是生活随笔為你收集整理的组策略系列之四:《精典放送:组策略管理20点》的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 让beanshell和bashshell
- 下一篇: CCNA之三:RIP协议