域组策略

组策略的作用

组策略（一组策略的集合）
可以统一修改系统、设置程序
调整桌面环境、安全设置、自动执行脚本、软件分发

使用组策略可以
对整个域设置组策略，可影响所有成员计算机和域用户的工作环境
对OU设置组策略，可影响该OU下的所有计算机和域用户的工作环境
降低布置用户和计算机环境的总费用，方便推行公司计算机使用规范及安全策略

组策略结构
组策略的具体设置保存在GPO中
默认的2个GPO
-默认域策略
-默认域控制器策略
GPO所链接的对象
-SDOU
GPO控制
-SDOU中的计算机和用户


一组策略的集合（与组没关系）
用来统一修改程序、设置程序
        设置桌面环境
        安全设置
        自动执行脚本
        软件分发

组策略的优点
减少管理成本
只需要设置一次
可以针对特定对象设置特定的策略

组策略对象
1、GPO
存储组策略的所有配置信息
AD中的一种特殊对象
2、默认GPO
默认域策略（Default Domain Policy）
默认域控制器策略（Default Domain Controlers Policy）
3、GPO链接
只能链接到站点、域、OU
开始-管理工具-组策略管理
gpupdate.exe 更新组策略
组策略的简单应用：禁止用户修改桌面背景
1、开始-管理工具-组策略管理-右击指定的OU-创建GPO-命名为禁止修改桌面背景-右击禁止修改桌面背景-编辑（打开组策略编辑器）-用户配置-策略-管理模板-控制面板-个性化-双击阻止更改桌面墙纸-已启用-确定
2、开始-运行-gpupdate/force（强制刷新策略）

组策略的应用规则
1、策略继承与阻止
下级容器可以继承或阻止应用其上级容器的GPO设置
2、策略强制生效
使下级容器强制执行器上级容器的GPO设置
3、策略累加与冲突
多个GPO设置在不冲突的情况下累加如冲突后应用生效
组策略应用顺序:LSDOU
本地组策略 站点 域 OU
如OU与子OU冲突，子OU生效
4、筛选
阻止一个容器内的用户或计算机应用其GPO设置
在组策略管理界面中-单击指定的GPO-在右侧窗口中选委派-高级-添加用户-勾选拒绝读取和应用组策略。