组策略是一个能够让系统管理员充分控制和管理用户工作环境的功能。通过它来确保用户拥有受控制的工作环境,也通过它来限制用户,如此不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。[1]
让管理员充分管理用户工作环境。组策略包括计算机配置和用户配置两个部分。其中计算机配置对计算机全局环境产生影响,用户配置对用户环境产生影响。
Q:如果同一条组策略的计算机配置与用户配置应用冲突,计算机会怎么么处理?
A:如果有冲突,系统会以禁用优先,也就是说计算机配置或用户配置只要有禁用选项就会以该选项优先。
组策略分为基于本地的组策略和基于AD(活动目录)的域组策略。
本地是指单一的计算机。用于设置本计算机的策略,策略只会应用于本计算机。本地策略中的计算机配置会被应用到这台计算机,用户配置会被应用到在这台计算机登录的所有用户。
(1)在DNS1上,使用【win + r】快捷键,打开【运行】对话框,输入命令:gpedit.msc。
在AD域中可以针对计算机、域或者组织单位来设置策略。其中域的组策略中的设置会被应用到域内所有的计算机和用户。而组织单位的组策略会被应用到该组织单位内的所有计算机和用户。
对于加入域的计算机来说,如果本地组策略的设置与域或组织单位的组策略设置发生冲突,以域或组织单位的组策略的设置优先。也就是此时本地组策略的设置是无效的。
(1)在DNS1上,使用【win + r】快捷键,打开【运行】对话框,输入命令:gpmc.msc。
活动目录中有两个内置的组策略对象:Default Domain Controllers Policy和Default Domain Policy。
创建新的组策略
(1)在域的【组策略对象】上点击鼠标右键,在弹出的菜单中选择【新建】。
(2)在弹出的【新建GPO】中输入新建的组策略名称:testGPO,点击【确认】,即可创建一个名为testGPO的组策略对象。
(3)在【testGPO】上点击鼠标右键,选择【编辑】,即可对该组策略进行编辑。
(4)该组策略对象包括计算机配置与用户配置两大部分。与本地策略相比,【软件设置】、【Windows设置】、【管理模板】被组织到【策略】下,新增了【首选项】部分。【首选项】包括【Windows设置】和【控制面板设置】。
如果策略和首选项对相同的选项设置了不同的值,以策略设置优先。
(5)将组策略testGPO应用到组织单位fjnu_user中。在【fjnu_user】上点击鼠标右键,选择【链接现有GPO】。
(6)在打开的【选择GPO】界面中,选择刚才创建并编辑的组策略 testGPO,点击【确认】,即可将testGPO应用到 fjnu_user 上。
以后对组策略 testGPO 的所有设置,均将作用于 fjnu_user 内的所有计算机和用户上,不会对其他计算机和用户有影响。