GP组策略:组策略是一种管理员限制用户和限制计算机使用界面,使用功能的一种工具,可以简单的理解为注册表的简化和汉化
注策略可以应用在四个位置,并且应用顺序为:
本地计算机---站点---域---组织单元,在本地计算机上使用组策略可以通过gpedit.msc打开组策略编辑器,进行修改,而在AD中可以通过管理工具中的“域控制器安全策略”和“域安全策略”进行限制,但是推荐大家不要使用这种方法进行使用,最好是在AD中建立GPL(组策略链接)的方法进行设置,同时也不要对默认的策略进行修改,以免无法恢复
组策略编辑器有两部分组成:
1计算机配置:当在计算机配置中改动了策略,那么在域中的任何用户登陆到这台被改动组策略的计算机上时,都会受到此策略的限制和约束,计算机策略一般都需要重新启动生效,
2用户配置:当在用户配置中改动了策略,那么此用户在域中任何计算机上进行登陆都会受到此限制和约束,用户策略一般需要注销才生效
如果设置的策略没有生效的话,可以通过组策略刷新命令设置进行强制生效,在2000的计算机上使用secedit /refreshpolicy machine_policy /enforce命令强制计算机策略生效,而使用secedit /refreshpolicy user_policy /enforce强制用户策略生效;在XP或2003的计算机使用gpupdate /force就可以使计算机策略和用户策略都进行刷新生效
在AD中经常遇到不同的计算机和不同的用户约束不同,所以就需要设置不同的组策略,但是不要在域上进行设置,设置域的组策略就会影响到所有的域中计算机和用户,常用的方法是创建组织单元,进行嵌套,分级设置组织单元的策略,就可以起到效果,组织单元的创建一般按照“地理范围”和“部门职能”进行划分,以实现企业合理化安排。