快捷導航

Windows Server 2019 組策略的配置與管理理論基礎(chǔ)

更新時間：2023年05月27日 20:18:09 作者：NOWSHUT

介紹了組策略的定義，作用和分類。組策略包括計算機配置和用戶配置；組策略又分為為基于本地的組策略和基于AD（活動目錄）的域組策略。并說明了不同組策略發(fā)生沖突時默認的規(guī)則

1. 組策略概述

1.1 定義

組策略是一個能夠讓系統(tǒng)管理員充分控制和管理用戶工作環(huán)境的功能。通過它來確保用戶擁有受控制的工作環(huán)境，也通過它來限制用戶，如此不但可以讓用戶擁有適當?shù)沫h(huán)境，也可以減輕系統(tǒng)管理員的管理負擔。[1]

1.2 作用

讓管理員充分管理用戶工作環(huán)境。組策略包括計算機配置和用戶配置兩個部分。其中計算機配置對計算機全局環(huán)境產(chǎn)生影響，用戶配置對用戶環(huán)境產(chǎn)生影響。

Q：如果同一條組策略的計算機配置與用戶配置應(yīng)用沖突，計算機會怎么么處理？

A：如果有沖突,系統(tǒng)會以禁用優(yōu)先，也就是說計算機配置或用戶配置只要有禁用選項就會以該選項優(yōu)先。

1.3 分類

組策略分為基于本地的組策略和基于AD（活動目錄）的域組策略。

（1）基于本地的組策略

本地是指單一的計算機。用于設(shè)置本計算機的策略，策略只會應(yīng)用于本計算機。本地策略中的計算機配置會被應(yīng)用到這臺計算機，用戶配置會被應(yīng)用到在這臺計算機登錄的所有用戶。

（1）在DNS1上，使用【win + r】快捷鍵，打開【運行】對話框，輸入命令：gpedit.msc。

在這里插入圖片描述

（2）基于域的組策略

在AD域中可以針對計算機、域或者組織單位來設(shè)置策略。其中域的組策略中的設(shè)置會被應(yīng)用到域內(nèi)所有的計算機和用戶。而組織單位的組策略會被應(yīng)用到該組織單位內(nèi)的所有計算機和用戶。

對于加入域的計算機來說，如果本地組策略的設(shè)置與域或組織單位的組策略設(shè)置發(fā)生沖突，以域或組織單位的組策略的設(shè)置優(yōu)先。也就是此時本地組策略的設(shè)置是無效的。

（1）在DNS1上，使用【win + r】快捷鍵，打開【運行】對話框，輸入命令：gpmc.msc。

活動目錄中有兩個內(nèi)置的組策略對象：Default Domain Controllers Policy 和 Default Domain Policy。

在這里插入圖片描述

【Default Domain Policy】默認已經(jīng)被鏈接到域 fjnu.local，其設(shè)置將會被應(yīng)用到整個域內(nèi)的所有用戶域計算機中?！綝efault Domain Controllers Policy】默認已經(jīng)被鏈接到組織單位Domain Controllers，其設(shè)置會被應(yīng)用到所有域控制器上。

在這里插入圖片描述

創(chuàng)建新的組策略

（1）在域的【組策略對象】上點擊鼠標右鍵，在彈出的菜單中選擇【新建】。

在這里插入圖片描述

（2）在彈出的【新建GPO】中輸入新建的組策略名稱：testGPO，點擊【確認】，即可創(chuàng)建一個名為testGPO的組策略對象。

在這里插入圖片描述
（3）在【testGPO】上點擊鼠標右鍵，選擇【編輯】，即可對該組策略進行編輯。

在這里插入圖片描述
（4）該組策略對象包括計算機配置與用戶配置兩大部分。與本地策略相比，【軟件設(shè)置】、【W(wǎng)indows設(shè)置】、【管理模板】被組織到【策略】下，新增了【首選項】部分?！臼走x項】包括【W(wǎng)indows設(shè)置】和【控制面板設(shè)置】。