系統內置的兩個組策略

• Default Domain Policy：此GPO已經被連接到域，因此這個GPO內的設置值會被應用到域內的所有用戶與計算機。
• Default Domain Controllers Policy：此GPO已經被連接到組織單位Domain Controllers，因此這個GPO的設置值會被應用到Domain Controlers內的所有用戶與計算機。Domain Controllers 內默認只有扮演域控制器角色的計算機。

策略設置和首選項設置

首選項

只有域的組策略才有首選項設置功能，本地計算機策略無此功能

首選項設置是非強制性的，客戶端可以更改設置值

策略設置

策略設置是強制性設置，客戶端應用后就不可更改（有些設置值雖然客戶端可更改，但是下一次組策略更新時，仍然會被更改為組策略設置的值）

策略設置優先級比首選項高

GPO內的計算機配置和用戶配置應用時間時機不相同

計算機應用的時機

開機會自動應用

若計算機已經開機：

域控制器默認5分鐘自動應用

非域控制器默認90~120分鐘自動應用

不論策略設置值是否發生變化，每隔16小時都會自動應用一次安全設置策略

手動：gpupdate?/target:computer /force

用戶配置的應用時機

用戶登錄時自動應用

若用戶已經登錄，默認90~120分鐘自動應用一次

不論策略設置值是否發生變化，每隔16小時都會自動應用一次安全設置策略

手動應用：gpupdate /target:user /force

手動同時應用計算機和用戶組策略配置：gpupdate /force

組策略的處理規則

一般的處理規則

組織單位GPO>域GPO>站點GPO>計算機本地策略

若將多個GPO鏈接到一處，則有效設置是這些GPO的設置總和；但若GPO間有沖突，則鏈接順序排在前面的GPO設置優先

?阻止繼承和強制繼承策略

強制繼承策略優先級大于阻止繼承策略

過濾組策略設置

當針對組織單位創建組策略后，該組策略設置會應用到該OU下的所有計算機和用戶；若想設置“不應用到該OU下的特定用戶或計算機”，可通過設置GPO委派權限達到該目的

選擇GPO“委派”，點擊“高級”

選擇“添加”

?

?添加對應的用戶名

勾選拒接應用組策略，確定

?拒絕權限優先于允許權限

?更改組策略應用時間

設置計算機配置應用時間

編輯組策略—計算機—管理模板—系統—組策略—?計算機組策略刷新時間

若應用時間間隔設置為0的話，則7秒鐘應用一次

若要更改域控制器之間的GPO應用時間，則需要在Domain Controllers內的GPO進行設置

設置用戶配置應用時間

編輯組策略—用戶—管理模板—系統—組策略— 用戶組策略刷新時間

默認90~120分鐘應用一次，若應用時間間隔設置為0的話，則7秒鐘應用一次

賬戶策略

計算機配置—策略—Windows設置—安全設置—賬戶策略

1.針對域用戶所設置的賬戶策略需要域級別的GPO設置才有效，通過站點或組織單位的GPO設置的賬戶策略對域賬戶無效（只會應用到此組織單位下的計算機的本地賬戶）

2.域級別GPO賬戶策略作用范圍是：所有域賬戶和所有計算機本地賬戶

3.組織單位GPO和域GPO賬戶策略有沖突，則計算機本地賬戶會采用域的設置

4.計算機本地賬戶策略和域/組織單位賬戶策略有沖突，則采用域/組織單位賬戶策略設置

打開屬性編輯器查看對象屬性

打開AD用戶和計算機——點擊高級功能——點擊對象，右鍵屬性——點擊屬性編輯器

?組策略委派管理

GPO鏈接委派

將GPO鏈接到站點、域或組織單位的權限

選擇組織單位——點擊委派——添加或刪除

?編輯GPO委派

編輯GPO 的權限

選擇GPO——點擊委派——添加或刪除

新建GPO的委派

新建GPO的權限?

系統默認的Group Policy Creator Owners 組只有對自己創建的GPO有編輯權限?

組策略對象——點擊委派——添加或刪除

操作實例

設置指定組織單位的用戶無法更改代理設置

1.設置代理服務器

打開IE瀏覽器，點擊連接，選擇局域網設置

2.創建組策略?

?

?編輯組策略：右鍵選中的組策略，選擇編輯；選擇用戶配置，點擊管理模板

展開Windows組件，選中IE，開啟“阻止更改代理設置”，設置

?

?3.更新組策略

運行命令：gpupdate /force

?開放“允許本地登錄的權限”

未設置該策略的情況：普通域賬號不能登錄

?

?右鍵編輯Default Domain Controllers Policy

?展開Windows設置，展開安全設置

?選擇本地策略，選擇用戶權限分配，點擊“允許本地登錄”，

?選擇添加用戶或組

?添加Domain Users組

?更新組策略：gpupdate /force

使用組策略限制訪問可移動存儲設備

以組織單位來說，若是針對計算機配置來設置策略，則任何域用戶登錄這個組織單位的計算機都會受到限制；若針對用戶配置來設置策略，則此組織單位下的所有用戶登錄任何一臺服務器都會受到限制

選擇計算機策略——管理模板——系統——?可移動存儲訪問，開啟“所有可移動存儲類：拒絕所有權限”

?

使用組策略的首選項管理用戶環境

?1.自動為用戶映射網絡驅動器

域管理員登錄域控，編輯組策略，新建映射驅動器

?輸入共享文件夾路徑，選擇驅動器號

選擇常用，勾選項目級別目標，點擊目標

新建項目，點擊組織單位?

選中sales組織單位，確認應用

?2.將在成員計算機登錄的域用戶添加到本地Administrators組

域管理員登錄域控

編輯組策略——用戶配置——首選項——控制面板設置——本地用戶和組——新建本地組

操作選擇更新，選擇Administrators組，勾選添加當前用戶，然后應用

3.檢查?

以普通域用戶登錄成員計算機

計算機分配軟件部署

?

?1.創建sofaware共享目錄

?

?2.將需要安裝的軟件包拷貝至共享目錄

3.編輯Defalult Domain Policy策略

選擇計算機配置——策略——軟件設置——軟件安裝

輸入共享目錄路徑后選擇安裝包?

?選擇已分配

等待軟件分配

4.檢查

使用域賬號登錄成員服務器，更新組策略后，發現軟件已被安裝

使用命令：gpresult -h c:\result.html，檢查組策略更新狀態

?

總結

以上是生活随笔為你收集整理的AD组策略管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。