1. 組策略概述

1.1 定義

組策略是一個(gè)能夠讓系統(tǒng)管理員充分控制和管理用戶工作環(huán)境的功能。通過(guò)它來(lái)確保用戶擁有受控制的工作環(huán)境，也通過(guò)它來(lái)限制用戶，如此不但可以讓用戶擁有適當(dāng)?shù)沫h(huán)境，也可以減輕系統(tǒng)管理員的管理負(fù)擔(dān)。[1]

1.2 作用

讓管理員充分管理用戶工作環(huán)境。組策略包括計(jì)算機(jī)配置和用戶配置兩個(gè)部分。其中計(jì)算機(jī)配置對(duì)計(jì)算機(jī)全局環(huán)境產(chǎn)生影響，用戶配置對(duì)用戶環(huán)境產(chǎn)生影響。

Q：如果同一條組策略的計(jì)算機(jī)配置與用戶配置應(yīng)用沖突，計(jì)算機(jī)會(huì)怎么么處理？

A：如果有沖突,系統(tǒng)會(huì)以禁用優(yōu)先，也就是說(shuō)計(jì)算機(jī)配置或用戶配置只要有禁用選項(xiàng)就會(huì)以該選項(xiàng)優(yōu)先。

1.3 分類(lèi)

組策略分為基于本地的組策略和基于AD（活動(dòng)目錄）的域組策略。

（1）基于本地的組策略

本地是指單一的計(jì)算機(jī)。用于設(shè)置本計(jì)算機(jī)的策略，策略只會(huì)應(yīng)用于本計(jì)算機(jī)。本地策略中的計(jì)算機(jī)配置會(huì)被應(yīng)用到這臺(tái)計(jì)算機(jī)，用戶配置會(huì)被應(yīng)用到在這臺(tái)計(jì)算機(jī)登錄的所有用戶。

（1）在DNS1上，使用【win + r】快捷鍵，打開(kāi)【運(yùn)行】對(duì)話框，輸入命令：gpedit.msc。

（2）基于域的組策略

在AD域中可以針對(duì)計(jì)算機(jī)、域或者組織單位來(lái)設(shè)置策略。其中域的組策略中的設(shè)置會(huì)被應(yīng)用到域內(nèi)所有的計(jì)算機(jī)和用戶。而組織單位的組策略會(huì)被應(yīng)用到該組織單位內(nèi)的所有計(jì)算機(jī)和用戶。

對(duì)于加入域的計(jì)算機(jī)來(lái)說(shuō)，如果本地組策略的設(shè)置與域或組織單位的組策略設(shè)置發(fā)生沖突，以域或組織單位的組策略的設(shè)置優(yōu)先。也就是此時(shí)本地組策略的設(shè)置是無(wú)效的。

（1）在DNS1上，使用【win + r】快捷鍵，打開(kāi)【運(yùn)行】對(duì)話框，輸入命令：gpmc.msc。

活動(dòng)目錄中有兩個(gè)內(nèi)置的組策略對(duì)象：Default Domain Controllers Policy 和 Default Domain Policy。

【Default Domain Policy】默認(rèn)已經(jīng)被鏈接到域 fjnu.local，其設(shè)置將會(huì)被應(yīng)用到整個(gè)域內(nèi)的所有用戶域計(jì)算機(jī)中?！綝efault Domain Controllers Policy】默認(rèn)已經(jīng)被鏈接到組織單位Domain Controllers，其設(shè)置會(huì)被應(yīng)用到所有域控制器上。

創(chuàng)建新的組策略

（1）在域的【組策略對(duì)象】上點(diǎn)擊鼠標(biāo)右鍵，在彈出的菜單中選擇【新建】。

（2）在彈出的【新建GPO】中輸入新建的組策略名稱：testGPO，點(diǎn)擊【確認(rèn)】，即可創(chuàng)建一個(gè)名為testGPO的組策略對(duì)象。

（3）在【testGPO】上點(diǎn)擊鼠標(biāo)右鍵，選擇【編輯】，即可對(duì)該組策略進(jìn)行編輯。

（4）該組策略對(duì)象包括計(jì)算機(jī)配置與用戶配置兩大部分。與本地策略相比，【軟件設(shè)置】、【W(wǎng)indows設(shè)置】、【管理模板】被組織到【策略】下，新增了【首選項(xiàng)】部分。【首選項(xiàng)】包括【W(wǎng)indows設(shè)置】和【控制面板設(shè)置】。

【策略】是強(qiáng)制性，用戶無(wú)法更改?！臼走x項(xiàng)】是非強(qiáng)制性，客戶端可以自行更改設(shè)置值。

如果策略和首選項(xiàng)對(duì)相同的選項(xiàng)設(shè)置了不同的值，以策略設(shè)置優(yōu)先。

（5）將組策略testGPO應(yīng)用到組織單位fjnu_user中。在【fjnu_user】上點(diǎn)擊鼠標(biāo)右鍵，選擇【鏈接現(xiàn)有GPO】。

（6）在打開(kāi)的【選擇GPO】界面中，選擇剛才創(chuàng)建并編輯的組策略 testGPO，點(diǎn)擊【確認(rèn)】，即可將testGPO應(yīng)用到 fjnu_user 上。

以后對(duì)組策略 testGPO 的所有設(shè)置，均將作用于 fjnu_user 內(nèi)的所有計(jì)算機(jī)和用戶上，不會(huì)對(duì)其他計(jì)算機(jī)和用戶有影響。

參考資料

[1]戴有煒，《2016 Windows Server 系統(tǒng)配置指南》，清華出版社，2018

Microsoft Docs：Active Directory documentation

Microsoft Docs：Active Directory Domain Services

到此這篇關(guān)于Windows Server 2019 組策略的配置與管理 理論基礎(chǔ)的文章就介紹到這了,更多相關(guān)win2019 組策略理論基礎(chǔ)內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論