資源描述:
《組策略的處理規(guī)則(精品)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、組策略的處理規(guī)則域控制器與域內(nèi)計(jì)算機(jī)在處理、應(yīng)用組策略時(shí),有一淀的程序與規(guī)則,只有詳細(xì)了解這些程序與規(guī)則,才能充分的通過組策略來管理用戶與計(jì)算機(jī)的壞境。-般的繼承與處理規(guī)則組策略的配置具有繼承性,它的處理規(guī)則如下:》如果父容器(high-levelcontainer)的某個(gè)策略被配置,但其了容器(low-levelcontainer)的策略未被配置,則了容器的這個(gè)策略將繼承父容器的配置值?!啡绻尤萜鞯哪硞€(gè)策略被配置,則止配査值會(huì)覆蓋由其父容器所傳遞下來的配置值?!方M策略的配置有累加性(cumulative)o但當(dāng)域、站點(diǎn)與OU之間的
2、GPO配置發(fā)生沖突時(shí),則以處理順序在后的GPO優(yōu)先。系統(tǒng)處理GPO的優(yōu)先順序是:站點(diǎn)的GPO、域的GPO、0U的GPO因此0U的GPO被優(yōu)先處理。》系統(tǒng)是先處理“計(jì)算機(jī)配置”,再處理“卅戶配置”,如果紐策略內(nèi)的“計(jì)算機(jī)配置”與“川戶配置”沖突時(shí),雖然“用戶配置”在后,但大部分情況下卻是以”計(jì)算機(jī)配置“優(yōu)先?!啡绻銓⒍鄠€(gè)GPO鏈接到同一個(gè)0U,那么所冇GPO的配置將被累加起來,作為最后的有效配置值,如果這些GPO的配置相互沖突時(shí),將以排在前面的GPO配置為優(yōu)先。提示:“本場計(jì)算機(jī)策略”的優(yōu)先權(quán)最低,也就是說如果“本地計(jì)算機(jī)策略”內(nèi)的配
3、置值與站點(diǎn)、域或OU配置沖突時(shí),站點(diǎn)、域或OU的配置優(yōu)先、“本地計(jì)算機(jī)策略”的配置無效。例外的繼承配査除了一般的繼承與處理規(guī)則外,還口J以配置以下的例外規(guī)則。阻止策略繼承可以通過選擇子容器內(nèi)“阻止策略繼承(BlockInheriumce)”選項(xiàng)來設(shè)置不繼承由父容器傳遞來的所有PPO配置,也就是肓接以子容器的GPO作為配置值。如果子容器的GPO內(nèi)設(shè)置為“尚未配置”,則采用默認(rèn)值。強(qiáng)制策略繼承強(qiáng)制策略繼承(enforcinginheritance)是指町以在父容器中通過GPO的“禁止替代(NoOverride)"選項(xiàng)強(qiáng)制子容器必須繼承(不
4、準(zhǔn)覆蓋)此GPO內(nèi)的組策略設(shè)定,而不論子容器是否設(shè)宜了“阻止策略繼承”。過濾組策略配置過濾組策略配査(FilteringGroupPolicy)是指在某個(gè)容器建立GPO后,此GPO的設(shè)直將被應(yīng)用到這個(gè)容器內(nèi)的所有用八和計(jì)算機(jī)。也可以讓此GPO不應(yīng)用到特定的用戶或計(jì)算機(jī),例如:“業(yè)務(wù)部”O(jiān)U的GPOfill置值內(nèi),可對所有業(yè)務(wù)部工作人員的工作環(huán)境做某些限制,但對業(yè)務(wù)部經(jīng)理作此限制。位于容器內(nèi)的用戶與計(jì)算機(jī),默認(rèn)地對該容器的GPO都具冇“讀取”與“應(yīng)用組策略”權(quán)限,可以通過:在圖所示中選中GPO?單擊“屬性”按鈕?“安全”的方法來查看,圖
5、中的AuthenticatedUsers表示所有經(jīng)過身份確認(rèn)的用戶與計(jì)算機(jī)。若不想將此GPO的設(shè)置應(yīng)用到此容器內(nèi)的用戶,只需單擊“添加”按鈕,選擇用戶,然后就用戶的這兩個(gè)權(quán)限設(shè)為“拒絕”即可。左仝
6、0=0組或用戶名稱(g):CREATOROWNERDomainAdmins(YUDomainAdmins)EnterpriseAdmins(YUEnterpriseAdmins)4—AuthenticatedUsersAuthmticated用戶添加進(jìn)去特殊處理的設(shè)置完全控制讀取寫入創(chuàng)建所有子對象刪除所有子對象應(yīng)用組策略--I3-□□口
7、□口□叼口口口回將這些權(quán)限改為拒絕特別權(quán)限或髙級設(shè)置>詰單擊“高級"O高級QT)
8、確定1取消1應(yīng)用@)1強(qiáng)制處理GPO客戶端的計(jì)算機(jī)在處理組策略的配置吋,是將不同類型的策略交給不用的動(dòng)態(tài)鏈接床(dynamice-linklibraries,DLL)進(jìn)彳亍處理與應(yīng)用,這些DLL被稱為client-sideextension,Qienusideextension負(fù)貴處理的策崎配■軟件安裝配覽磁盤配傾配覽文件咚位覽轉(zhuǎn)移配JT但是,當(dāng)某個(gè)xlinwr-aiswwzrwnsion在處理其所犯罪的策略吋,只處理上次處理后的最新變動(dòng)策略。這種做法雖
9、然町以提高處理策略的效率,但有吋候卻無法達(dá)到預(yù)定的口的,例如,在GPO內(nèi)對用戶做了某項(xiàng)限制,而用戶因這個(gè)策略受到限制之后,卻白行將此限制刪除,那么當(dāng)卜-次用戶端應(yīng)川策略時(shí),client-sideextension會(huì)因?yàn)镚OP內(nèi)的策略配置值并沒有變動(dòng)而不處理此策略,因而無法口動(dòng)將用戶口行改變的配置恢復(fù)。解決這個(gè)問題的方法是:強(qiáng)制要求clicnt-sidcextension處理每一個(gè)策略,不論該策略的配置值是否變動(dòng),可以針對每一個(gè)client-sideextension分別配宜。例如:假設(shè)要求“業(yè)務(wù)部”0U內(nèi)的每一臺(tái)計(jì)算機(jī)在每一次處理、應(yīng)
10、用策略時(shí),必須處理、應(yīng)用與軟件安裝有關(guān)的策略,則其配置方法是:在如圖所示“業(yè)務(wù)部GPO”的組策略編輯器對話框中執(zhí)行“計(jì)算機(jī)配置”-“管理模板”?“系統(tǒng)”?“組策略”■“雙擊”軟件安裝策略處理。如果要讓計(jì)算機(jī)強(qiáng)制處理、應(yīng)川