win2008R2 组策略

Posted 2020-08-25

组策略包含计算机配置和用户配置两个部分

本地计算机策略----针对单一的计算机

域内的组策略----可以针对域内的站点，域，组织单元来设置组策略

对于加入域的计算机来说，如果 本地计算机策略 的设置 和 域或组织单位的组策略设置有冲突的话，以域或组织单位的组策略设置优先，此时本地计算机策略是无效的。

gpedit.msc 编辑本地计算机策略

域内组策略是通过组策略对象GPO来设置的，只要将GPO链接到域或组织单元后，该GPO内的设置值就会被应用到域或组织单元内的所有用户和计算机。

系统默认有两个内置的GPO：default  domain policy  和 default domain  controllors policy

前面一个默认链接到域   后面一个链接到域控制器

可以选中组织单元右键阻止继承，这样组织单元就不会继承域策略设置了

也可以右键域GPO，选择强制，表示组织单位必须继承

新建GPO后进入编辑

组策略例外排除：选择某个GPO--右边的“委派”--“高级”--“添加”--"把读取和应用组策略勾选为拒绝"-----这样就可以把某个组织单位下面的人不应用组策略了

域控制器上面组策略做，每隔5分钟会自动应用

如果域内有多台域控制器，PDC主机的变更会在15秒钟后复制到其他域控制器

非域控制器每隔90-120分钟自动应用

所有计算机每隔16小时也会强制应用域安全策略内的所有设置，即时组策略没有发生任何更改

手动执行应用：gpupdate /force

安全配置向导：可以通过这个工具把某台服务器上的所有配置信息导出来拿到其他服务器上应用

可以通过组策略首选项来设置用户或计算机的工作环境

只有域内的组策略才有首选项功能

首选项非强制性，客户端可以自行修改设置值

但策略设置是强制的，客户端应用后，无法自行修改