AD域组策略应用

一、组策略概述。

组策略的优点：

①减小管理成本

②减小用户单独配置错误的可能性

③可以针对特定对象设置特定的策略

组策略对象：

GPO （Group Policy Object）的概念

存储组策略的所有配置信息

AD中的一种特殊对象

默认GPO

1、默认域策略

（1）本地安全策略与默认域策略有冲突，以默认域策略优先，本地设置无效。

（2）本地计算机何时才会应用在域策略内有变动的设置呢？

本地安全策略有变动时；

本地计算机重启时；

DC每5分钟自动应用；

不是DC每隔90-120分钟会自动应用；

所有计算机每隔16小时强制应用，即使无更改。

手动应用域策略：gpupdate或gpupdate /force

2、默认域控制器策略

只影响到位于Domain Controllers内的域控制器，不影响其他组织单元或容器内的计算机和用户

所有位于Domain Controllers内的DC都会受域控制器安全策略的影响。

默认域策略与域控制器安全策略冲突时，对于DC来说默认域控制器策略优先，域安全策略无效。

GPO链接

只能链接到站点、域、OU

站点的概念 ：

活动目录中的站点是从物理上抽象的概念

由一个或几个通过高速链路连接在一起的IP子网组成

站点和域的关系：

一个站点中可以有多个域

一个域中可以有多个站点

站点的主要作用：

优化复制

使用户能够使用可靠、高速的连接登录到域控制器上

域内的策略：在域内可以针对站点、域或组织单元来设置组策略，其中的域组策略内的设置会被应用到域内所有计算机与用户，而组织单元的组策略会被应用到该组织单元内的所有计算机与用户。

对于加入到域的计算机来说，如果两者有冲突，以域或组织单元组策略的设置优先，本地策略无效。

打开方式：运行gpedit.msc命令

二、创建组策略。

组策略内的设置分为：策略、首选项

     只有域内的组策略才有首选项功能，本地计算机策略无此功能。

     首选项非强制性，客户端可更改设置，策略设置是强制性，客户端无法更改。

     策略设置若要在客户端发生作用，客户计算机的操作系统或应用程序必须支持组策略，首选项不需要。

     若要筛选策略设置，必须针对整个GPO来筛选，而首选项可以针对单一设置项目来设置。

三、组策略应用规则。

组策略应用顺序LSDOU：本地组策略->站点->域->OU

如果在一个对象上存在多个GPO策略，那么按照GPO策略编号从高往低执行，最后执行的策略生效。

所有的策略应用都需要遵循以下几种规则：

①继承与组织。

下级容器默认会继承来自上级容器的GPO

子容器可以阻止继承上级容器的GPO

 ②累加与冲突。

③强制生效。

上级容器强制下级容器执行其GPO设置

“强制生效”会覆盖“阻止继承”设置

④筛选。 

可阻止一个GPO应用于容器内的特定计算机或用户

让特定的对象应用组策略

筛选的配置方法：

1.选中OU下的GPO

2.点击GPO中的"委派"

3.点击右下角"高级"

4.点击"添加"

5.添加要排除的用户并在权限栏中，选择"应用组策略"--->"拒绝"

来源地址：https://blog.csdn.net/m0_50818626/article/details/129860594