Windows 2003 Active Diretory全攻略(八)--组策略(1)
|
2、组策略的应用机制: 两项特性:继承与累加 策略继承:在AD结构中,若X容器下层还有Y容器,则Y容器便是所谓的”子容器“,X,Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。 在整个继承关系中,最上层为站点,其下层为域与组织单位。若有多层组织单位,则下层组织单位会继承上层组织单位的GPO。 策略累加:策略累加机制和组策略的应用顺序有密切的关系,假设将域FLAG。COM连接到GPO-F,将组织单位PRODUCT与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与EMPLOYE这两个组织单位除了本身的组策略外,还会继承来自上层容器策略。子容器会首先应用继承来自上层容器的组策略,然后再应用本身的组策略,当上层的设置项目与下层的设置项目不同时,组策略的效果可以相加,但若是对同一个项目做不同的设置,则先应用的策略会被后来应用的策略覆盖。 何时应用组策略: 开机/登录:当计算机开机时,域控制器会根据计算机帐户在AD中的位置,决定该计算机必须应用哪些GPO。此时仅应用这些GPO中计算机设置的部分。用户登录时,即按CTRL+ALT+DEL后,输入账号和密码。域控制器会根据用户帐户在AD中的位置,决定该用户必须应用哪些GPO。此时仅应用这些GPO中用户设置的部分。 一般而言,都是计算机顺利启动之后,用户才能用该计算机登录域,因此,在实际上是先应用计算机设置,后应用用户设置。不过,这里出现一个值得注意的现象,当计算机设置和用户设置发生冲突时,若依照前面的概念,应该是后应用的用户设置覆盖掉先应用的计算机设置,然而并不是这样,事实是计算机设置覆盖掉用户设置。 此外由于计算机与用户可能分别隶属不同的站点、域或组织单位,因此,各自可能会继承不同的GPO。
,由图可知,X用户隶属于A2组织单位,Y计算机隶属于B2组织单位,当X用户从Y计算机开机并登录域时,应用GPO的情形如下: (编辑:佛山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
