資源描述:
《組策略處理和優(yōu)先級(jí)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1、組策略處理和優(yōu)先級(jí)應(yīng)用丁?某個(gè)用戶(或計(jì)算機(jī))的組策略對(duì)象(GPO)并非全部具有相同的優(yōu)先級(jí)。以后應(yīng)用的設(shè)置可以覆蓋以前應(yīng)用的設(shè)置。處理設(shè)置的順序木節(jié)提供有關(guān)用八和計(jì)算機(jī)組策略設(shè)置處理順序的詳細(xì)信息。有關(guān)策略設(shè)置處理適合計(jì)算機(jī)啟動(dòng)和用八登錄框架的位置的信息,請(qǐng)參閱以下丄題啟動(dòng)和登錄中的第3步和第8步。組策略設(shè)置是按下列順序進(jìn)行處理的:1.本地組策略對(duì)象一每臺(tái)計(jì)算機(jī)都只有一個(gè)在本地存儲(chǔ)的纟II策略對(duì)象。對(duì)于計(jì)算機(jī)或用戶策略處理,都會(huì)處理該內(nèi)容。2.站點(diǎn)一接下來(lái)要處理任何己經(jīng)鏈接到計(jì)算機(jī)所屬站點(diǎn)的GPOo處理的順序是山管理員在組策略管理控制臺(tái)(GPMC
2、)中該站?點(diǎn)的“鏈接的紐策略對(duì)象”選項(xiàng)卡內(nèi)指定的?!版溄禹樞颉弊畹偷腉PO最后處理,因此具有最髙的優(yōu)先級(jí)。3.域一多個(gè)域鏈接GPO的處理順序是由管理員在GPMC中該域的“鏈接的組策略對(duì)彖”選項(xiàng)卡內(nèi)指定的?!版溄禹樞颉弊畹偷腉PO最后處理,因此具有最高的優(yōu)先級(jí)。4.組織單位一鏈接到ActiveDirectory層次結(jié)構(gòu)中最高層組織單位的GPO最先處理,然后是鏈接到其子組織單位的GPO,依此類推。最后處理的是鏈接到包含該用戶或計(jì)算機(jī)的組織單位的GPOo在ActiveDirectory層次結(jié)構(gòu)的每一級(jí)組織單位中,對(duì)以鏈接一個(gè)、多個(gè)或不鏈接GPO。如果一個(gè)
3、組織單位鏈接了幾個(gè)GPO,它們的處理順序則山管理員在GPMC中該組織單位的“鏈接的組策略對(duì)象”選項(xiàng)卡內(nèi)指定?!版溄禹樞颉弊畹偷腉PO最后處理,因此具有最高的優(yōu)先級(jí)。該順序意味著首先會(huì)處理本地GPO,最后處理鏈接到計(jì)算機(jī)或用八直接所屬的組織單位的GPO,它會(huì)覆蓋以詢GPO中與之沖突的設(shè)置。(如果不存在沖突,則只是將以前的設(shè)置和以后的設(shè)置迓行結(jié)合。)返冋頁(yè)而頂部返冋頁(yè)而頂部設(shè)置默認(rèn)處理順序的例外設(shè)置的默認(rèn)處理順序受下列例外情況的影響:?GPO鏈接可以“強(qiáng)制”,也可以“禁用”,或者同吋設(shè)置兩者。默認(rèn)情況下,GPO鏈接既不強(qiáng)制也不禁川。?GPO可以禁川其用
4、戶設(shè)置、禁川其計(jì)算機(jī)設(shè)置,也可以禁川所有設(shè)置。默認(rèn)情況下,GPO上的用戶設(shè)置和計(jì)算機(jī)設(shè)置都不禁用。?組織單位或域町以設(shè)置成“阻止繼承”。默認(rèn)情況下,不設(shè)置成“阻止繼承”。有關(guān)默認(rèn)行為的上述修改的信息,請(qǐng)參閱管理組策略繼承。?作為工作紐成員的計(jì)算機(jī)僅處理本地紐策略對(duì)象。?可以啟川環(huán)回。有關(guān)環(huán)回的信息,請(qǐng)參閱在合并或替換時(shí)啟川環(huán)回處理。啟動(dòng)和登錄下血的序列顯示了計(jì)算機(jī)啟動(dòng)和用八登錄時(shí)計(jì)算機(jī)策略和用戶策略的應(yīng)用順序:1?網(wǎng)絡(luò)啟動(dòng)。遠(yuǎn)程過(guò)程調(diào)用系統(tǒng)服務(wù)(RPCSS)和多重通用命名約定提供程序(MUP)啟動(dòng)。(WindowsXPProfessional是該規(guī)
5、則的一個(gè)例外。默認(rèn)情況卜,在WindowsXPProfessional中組策略處理不會(huì)等待網(wǎng)絡(luò)啟動(dòng)。該默認(rèn)行為可通過(guò)策略設(shè)置進(jìn)行更改。)2.獲取川于該計(jì)算機(jī)的GPO順序列表。該列表可能取決于下列因索:?計(jì)算機(jī)是否屬于域,并因此通過(guò)ActiveDirectory受紐.策略的控制。?計(jì)算機(jī)在ActiveDirectory中的位置。?組策略對(duì)象列表是否已經(jīng)更改。如果GPO列表沒有更改,則不進(jìn)行任何處理??梢允褂貌呗栽O(shè)置更改該行為。?管理員設(shè)置的任何強(qiáng)制/阻止。管理員可以將策略設(shè)置為一個(gè)總是會(huì)應(yīng)用的更高級(jí)別,這個(gè)過(guò)程稱為強(qiáng)制,以前稱為禁止替代。另外,管理員
6、還可以設(shè)置一個(gè)容器來(lái)阻止更髙級(jí)別的任何策略的應(yīng)用。注意:管理員設(shè)置為強(qiáng)制的更高級(jí)別的策略將繼續(xù)應(yīng)用,即使設(shè)置了以上級(jí)別的阻止也是如此。3.計(jì)算機(jī)策略得以應(yīng)用。這些都是收集的列表中“計(jì)算機(jī)配置”下的設(shè)置。GPO是按照下列順序應(yīng)用的:木地、站點(diǎn)、域、組織單位、子組織單位等。在處理計(jì)算機(jī)策略吋,不出現(xiàn)任何通知。可以通過(guò)策略打開詳細(xì)日志記錄,以顯示處理計(jì)算機(jī)策略的通知。有關(guān)在應(yīng)川川戶或計(jì)算機(jī)策略時(shí)處理設(shè)置的順序的詳細(xì)信息,請(qǐng)參閱木主題屮的處理設(shè)置的順序。4.啟動(dòng)腳木運(yùn)行。默認(rèn)情況下這是隱藏而且是同步進(jìn)行的;每個(gè)腳木在下一個(gè)腳本開始執(zhí)行之前要么必須完成,要么
7、做超時(shí)處理。默認(rèn)的超時(shí)時(shí)間為600秒。可以使川兒個(gè)策略設(shè)置更改該行為。注意?任何版木的WindowsXPProfessional都提供了“快速登錄優(yōu)化”功能。默認(rèn)情況卜,使用這些操作系統(tǒng)的計(jì)算機(jī)在引導(dǎo)時(shí)不會(huì)等待網(wǎng)絡(luò)啟動(dòng)。登錄之后,一口網(wǎng)絡(luò)可用,策略將立即在后臺(tái)進(jìn)行處理。這就意味著在登錄和啟動(dòng)時(shí),計(jì)算機(jī)將繼續(xù)使用以前的策略設(shè)置。因此,對(duì)于只能在引導(dǎo)或登錄時(shí)應(yīng)用的設(shè)置(如軟件安裝和文件夾亜定向),用戶可以在對(duì)GPO進(jìn)行初始更改之后為多次登錄請(qǐng)求這樣的設(shè)置。該策略由“計(jì)算機(jī)配置管理模板系統(tǒng)登錄計(jì)算機(jī)啟動(dòng)或登錄吋總是等待網(wǎng)絡(luò)”屮的設(shè)置控制。該功能在
8、Windows2000或WindowsServer2003版木屮不可丿U。1.用戶按Ctrl-Alt-Del登錄。2JI]