组策略的处理规则
域成员计算机在处理(应用)组策略时有一定的程序和规则,系统管理员必须了解他们,才能后通过组策略来充分地掌控用户与计算机环境
一般的继承与处理规则
组策略设置是有继承性的,也有一定的处理规则:
- 如果在高层父容器的某个策略被设置,但是在其下底层子容器并未设置此策略的话,则低层子容器会继承高层父容器的这个策略设置值
- 如果在低层子容器内的某个策略被设置的话,则此设置值默认会覆盖由其高层父容器所继承下来的设置值
- 组策略设置是有累加性的。
- 如果在组织单位"财务部"内建立了GPO,同时在站点、域内也都有GPO,则站点、域和组织单位内的所有GPO设置值都会被累加起来作为组织单位"财务部"的最后有效设置值
- 如果站点、域和组织单位"财务部"之间的GPO设置发生冲突时,则优先级为组织单位的GPO最优先、域的GPO次之、站点的GPO优先权最低
- 如果组策略内的计算机配置与用户配置发生冲突的话,则以计算机配置优先
- 如果将多个GPO连接到同一处,则所有这些GPO的设置会被累加起来作为最后的有效设置值,但如果这些GPO的设置相互冲突时,则以连接顺序在前面的GPO设置优先
- 本地计算机策略的优先级最低,也就是说如果本地计算机策略内的设置值与站点、域或组织单位的设置冲突时,则以站点、域或组织单位的设置优先
例外的继承设置
除了一般的继承与处理规则外,还可以设置以下的例外规则
- 阻止继承策略
可以设置让子容器不要继承父容器的设置,例如若不要让组织单位"财务部"继承域h2o.com的策略设置的话。可以选中"财务部"并右击 -> 阻止继承,此时组织单位"财务部"将直接以自己的GPO设置为其设置值,若其GPO内的设置为"未配置"的话,则采用默认值
- 强制继承策略
可以通过父容器来强制其下子容器必须继承父容器的GPO设置,不论子容器是否选用了阻止继承。可以选中高层父容器中的策略并右击 -> 强制,来强制其下的所有组织单位都必须继承此策略
- 筛选组策略设置
以组织单位"财务部"为例,当针对此组织单位建立GPO后,此GPO的设置会被应用到这个组织单位内的所有用户与计算机,如图所示默认是应用到Authenticated Users组(身份经过确认的用户)
不过也可以让此GPO不要应用到特定的用户或计算机,例如此GPO对所有业务部人员的工作环境做了某些限制,但是却不想将此限制加在"财务部经理"上,位于组织单位内的用户与计算机,默认对该组织单位的GPO都具有读取与应用组策略权限。可以单击Finance Department GPO -> 单击"委派"选项卡 -> 单击"高级"按钮 -> 选择Authenticated Users进行查看
如果不想将此GPO的设置应用到组织单位"财务部"内的用户Dick的话,单击上图中的"添加"按钮 -> 选择用户Dick ->如下图所示将Dick的应用组策略权限设置为"拒绝"即可
特殊的处理设置
特殊处理设置包括:
- 强制处理GPO
客户端计算机在处理组策略的设置时,会将不同类型的策略交给不同的DLL(Dynamic-Link Libraries)来负责处理与应用,这些DLL被称为Client-Side Extension(CSE)。不过CSE在处理其所负责的策略是,只会处理上次处理过后的最新改动策略,这种做法虽然可以提高处理策略的效率,但是有时候却无法达到所期望的目标。
存在的问题:在GPO内对用户做了某项限制,在用户因为这个策略而受到限制后,如果用户自行将此限制删除,则当下一次用户计算机在用用策略是,客户端的CSE会因为GPO内的策略设置值并没有变化而不处理此策略,因而无法自动将用户自行更改的设置改回来
解决办法:强制要求客户端CSE一定要处理指定的策略,不论改策略设置值是否发生变化。可以针对不同策略来个别设置。
比如,要强制组织单位"财务部"内所有计算机必须处理(应用)软件安装策略的话:在 Finance Department GPO 的设置界面中选用 计算机配置 -> 策略 -> 管理模板 -> 系统 -> 如图双击组策略右侧的配置软件安装策略处理 -> 选择 已启用 -> 并勾选 即便尚未更改组策略对象也进行处理 -> 单击"确定"按钮
- 慢速连接的GPO处理
可以让域成员计算机自动检测其与域控制器之间的连接速度是否太慢,如果是的话,就不要应用位于域控制器内指定的组策略设置。除了配置注册表策略处理与配置安全策略处理这个策略之外(无论是否慢速连接都会应用),其他策略都可以设置为慢速连接不应有
比如:要求组织单位"财务部"内的每一台计算机都要自动检测是否为慢速连接:请在 Finance Department GPO 的 计算机配置 界面中,如图所示,双击组策略右侧的配置组策略慢速连接检测 -> 选择已启用 -> 在连接速度处输入慢速连接的定义值 -> 单击"确定"按钮,图中设置只要连接速度低于500Kbps,就视为慢速。如果禁用或未配置此策略的话,则默认也是将低于500Kbps视为慢速连接
接下来假设组织单位"财务部"内的每一台计算机与域控制器之间即使是慢速连接,也需要应用"软件安装策略处理"策略,其设置方法如图,需要勾选"允许通过慢速网络连接进行处理"
- 环回处理模式
一般来说,系统会根据用户或计算机账户在AD DS内的位置,来决定如何将GPO设置值应用到用户或计算机。
存在的问题:如果服务器Sever1的计算机账户位于组织单位服务器内,此组织单位有一个名称为Server GPO的GPO,而用户Dick的用户账户位于财务部内,此组织单位有一个名称为 Finance Department GPO 的GPO,则当用户Dick在Server1上登录时,在正常情况下,他的用户环境是由 Finance Department GPO 的用户配置来决定的,不过他的计算机环境是由 Server GPO 的计算机配置来确定的。然而如果在 Finance Department GPO 的用户配置内,设置让组织单位财务部内的用户登录时,就自动为他们安装某个应用程序的话,则这些用户到任何一台域成员计算机上(包含Server1)登录时,系统将为他们在这台计算机内安装此应用程序,但是却不想为他们在这台重要的服务器Sever1内安装应用程序此时要怎么办?
解决方法:可以启用环回处理模式(loopback processing mode)。如果在 Server GPO 启用了 环回处理模式 ,则不论用户账户是位于何处,只要用户是利用组织单位服务器内的计算机(包含服务器Server1)登录,则用户的工作环境可改由 Server GPO 的用户配置来确定,这样Dick到服务器Serve1登录时,系统就不会替他安装应用程序
环回处理模式分为两种模式
- 替换模式:直接改由 Server GPO 的用户配置来确定用户的环境,而忽略 Finance Department GPO 的用户设置
- 合并模式:先处理 Finance Department GPO 的用户设置,在处理 Server GPO的用户配置,如果两者发生冲突,则以 Server GPO 的用户配置优先
假设我们要在 Server GPO 内启用环回处理模式,在 Server GPO 的计算机配置 界面中,如图所示双击组策略右侧的配置用户组策略环回处理模式 -> 选择已启用 -> 在模式处选择"替换"或"合并"
- 禁用GPO
若有需要的话,可以将整个GPO禁用,或单独将GPO的计算机配置或用户配置禁用。以 Finance Department GPO 为例:
- 如果要将整个GPO禁用的话,如图中所示选中 Finance Department GPO 并右击,然后取消勾选"已启用链接"
- 如果要将GPO的计算机配置或用户配置单独禁用的话:先进入 Finance Department GPO 的编辑界面 -> 如图所示单击 Finance Department GPO -> 单击上方"属性"图标 -> 勾选"禁用计算机配置"或"禁用用户配置设置"
更改管理GPO的域控制器
当新增、修改或删除组策略设置时,这些改动默认先被存储到扮演PDC模拟器操作主机角色的域控制器,然后再由它将其复制到其他域控制器,域成员计算机再通过域控制器来应用这些策略
应用场景:如果系统管理员在上海,可是PDC模拟器操作主机却在远程的北京,此时上海的系统管理员会希望其针对上海员工所设置的组策略,能够直接存储到位于上海的域控制器,以便上海的用户与计算机能够通过这台域控制器来快速应用这些策略
解决方法:
- 利用DC选项:假设供上海分公司使用的GPO为上海分公司专用GPO,则进入编辑此GPO的界面(组策略对象编辑器界面),然后如图所示,单击"上海分公司专用GPO" -> 点击查看菜单 -> DC选项 -> 在前景图中选择要用来管理组策略的域控制器。
图中选择域控制器的选项有三种:
- 具有PDC模拟器操作主机令牌的域控制器:也就是使用PDC模拟器操作主机,这是默认值,也是建议值
- Active Directory管理单元使用的域控制器:当系统管理员执行组策略对象编辑器时,此组策略对象编辑器所连接的域控制器就是我们要选用的域控制器
- 使用任何可用的域控制器:此选项让组策略对象编辑器可以任意挑选一台域控制器。
- 利用策略设置:假设要针对上海系统管理员来设置。需要针对其用户账户所在的组织单位来设置,如图所示,进入编辑此组织单位的GPO界面(组策略对象编辑器界面)后,双击右侧的配置策略域控制器选择,然后如图所示来选择域控制器
更改组策略的应用间隔时间
域成员计算机与域控制器何时会应用组策略的设置,可以更改这些设置值,不过建议不要将更新组策略的间隔时间设置的太短,以免增加网络负担
更改计算机配置的应用间隔时间
例如:更改组织单位"财务部"内所有计算机的应用"计算机配置"的间隔时间的话,在 Finance Department GPO 的 计算机配置 界面中,如图所示,双击"组策略"右侧的"设置计算机的组策略刷新间隔" -> 选择已启用 -> 通过前景图来设置
图中设置为每隔90分钟加上0到30分钟的随机值,也就是每隔90-120分钟之间应用一次。如果禁用或未配置此策略的话,则默认就是每隔90-120分钟之间应用一次。如果应用间隔设置为0分钟的话,则会每隔7秒钟应用一次
如果要更改域控制器的应用计算机配置的间隔时间,请针对组织单位Domain Controller内的GPO来设置(例如Default Domain Controllers GPO),其策略名称是设置域控制器的组策略刷新间隔
图中设置为每隔90分钟加上0到30分钟的随机值,也就是每隔90-120分钟之间应用一次。如果禁用或未配置此策略的话,则默认就是每隔90-120分钟之间应用一次。如果应用间隔设置为0分钟的话,则会每隔7秒钟应用一次
更改用户配置的应用间隔时间
例如:更改组织单位"财务部"内所有用户的应用"用户配置"的间隔时间的话,在 Finance Department GPO 的 用户配置 界面中,如图所示,双击"组策略"右侧的"设置用户的组策略刷新间隔"来设置
图中设置为每隔90分钟加上0到30分钟的随机值,也就是每隔90-120分钟之间应用一次。如果禁用或未配置此策略的话,则默认就是每隔90-120分钟之间应用一次。如果应用间隔设置为0分钟的话,则会每隔7秒钟应用一次
