如何区分计算机策略
原创
©著作权归作者所有:来自51CTO博客作者intelboy的原创作品,请联系作者获取转载授权,否则将追究法律责任
计算机的策略大体上分为四类,分别是本地策略,域策略,站点策略以及OU策略。其中本地策略是每台计算机都有的,而后三者只有在域环境下才有。他们的优先级顺序从低到高分别为:local policy(本地)->site policy(站点)->domain policy(域)->ou policy(组织单元)。
当一台计算机处于工作组模式,它只会执行本地安全策略;当它处于域模式,则至少要执行本地安全策略和域安全策略;而当它处于域模式且为DC(Domain Controller),则至少要执行本地安全策略、域安全策略和域控制器安全策略三个策略。由于处于域模式的计算机要执行多条策略,为了保证策略相互之间不冲突,必须采取相应的措施。默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是合并关系,即同时生效执行;但当产生冲突的时候,优先级高的策略会替代优先级低的策略。
为了尽量避免组策略之间的冲突,或者达到管理员组策略集中设定控制的目的,我们首先需要了解各个策略自身作用的范围(假定计算机处于域模式)。本地策略,即作用于本地计算机的策略,当域策略没有定义时执行该策略。域安全策略,即整个域的策略。域控制器安全策略,它属于OU策略的一种,只作用在Domain Controller这个组织单元(OU)上,即Domain Controller的组策略”Default Domain Controller Policy”。换言之,修改域控制器安全策略和修改Domain Controller组织单元中的”Default Domain Controller Policy”效果是一样的。除此之外,域控制器安全策略不与域安全策略冲突。而当本地策略与域安全策略冲突时,执行的是域安全策略。
下面我们通过一个简单的例子加以说明。假设域模式中,本地策略中帐户的密码长度最小值为8个字符,域安全策略中帐户的密码长度最小值为10个字符,而域控制器安全策略中帐户的密码长度最小值为12个字符。那么域中的所有计算机的密码长度最小值为10个字符,在本地通过运行gpedit,msc调用组策略控制台,查看相应的数值已改为10个字符,并且不允许本地修改此数值(显示为灰色锁定状态);而域控制器安全策略中没有改变,仍为12个字符。
最后,关于管理员如何有效地使用计算机策略达到相关管理目标,提以下几点:
1、 域模式中,如果要集中统一定制组策略,则在域安全策略中设定即可。
2、 域模式中,如果要针对不同用户进行组策略管理,则先划分不同的OU,然后设定相应OU的组策略即可。
3、 域模式中,如果不想对计算机进行组策略管理,则将域安全策略和域控制器安全策略设定为“没有定义”即可。
4、 工作组模式中,只能通过本地管理员进行单台组策略设定。
上一篇:灾难准备计划
下一篇:Veritas灾难备份与恢复
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
AD 组策略 | 服务器管理 | 组策略计算机配置
上一篇介绍组策略是 Windows AD 活动目录中的一项管理功能,用于在网络中集中管理计算机和用户的配置。组策略允许系统管理员通过定义规则和设置,对计算机和用户的行为进行控制。其中,计算机配置和用户配置两个关键功能。今天我们以计算机配置为例进行操作展示。想想关于计算机配置里面的所有配置项在200左右(这个回头我可以统计下),统一管理成千上万台客户端和服务器。那效率咋样? - **系统级设置:** 计算机配置允许我们定义适用于整个计算机的设置。包括安全设置、脚本执行、网络设置等。 - **软件部署:** 我们可以使用计算机配置来部署软件和应用程序,确保特定计算机上安装了所需的软件。
AD 组策略管理 AD GPO 配置 AD 域策略 域策略计算机配置 组策略管理 -
计算机基础构成详解
计算机基础构成详解
Data App 输入输出设备 -
【知识点汇总:计算机系统结构】计算机系统结构概论
机器语言级:翻译与解释:软件移植与兼容性:计算机分类:题型:计算加速比
机器语言 加速比 兼容 分类 夏明亮