windows2003 组策略学习笔记（一）

零、计算机本身就是用于服务人类的，而其上面的所有软件的目的也都是尽可能简化计算机相关的管理和增加计算机的功能。组策略本质上就是ACL——访问控制列表，这对于路由器交换机的ACL、防护墙的ACL、文件系统的权限等本质上是相通的。组策略是规则，计算机和用户是“人”，把规则加到“人”身上，就规定了“人”能做什么，不能做什么。这和现实中的人类社会也是相通的。

一、组策略的几大功能：软件分发、软件限制、安全设置、基于注册表的设置、IE维护、脱机文件、漫游配置文件和文件夹重定向、计算机和用户脚本。

二、三个名称：组策略对象（GPO）、组策略容器（GPC）、组策略模板（GPT），其中组策略对象包括组策略容器和组策略模板。我的理解：组策略对象看起来就是一条一条的策略规定。

三、三个容器类单元：站点、域、OU，规模依次递减。

四、常用工具和命令：gpmc工具集、support tools工具集（adsi edit工具，在mmc中添加）；gpupdate /force 用于客户端强制刷新组策略，gpresult /scope user /v 显示组策略应用情况；dcgpofix用于默认组策略删除后的修复

五、组策略的覆盖优先级由低到高为： 本地策略、站点策略、域策略、父OU策略、子OU策略。当组策略对象产生冲突时，计算机策略覆盖用户策略、不同层次的组策略产生冲突时，子OU覆盖父OU策略、同一容器上多个组策略冲突时，处于GPO列表最高位的GPO优先级最高。总体原则：后执行的优先级高！

六、变更组策略应用顺序：阻止继承、强制（禁止替代）、避免变更应用顺序。阻止继承的意思是，默认情况下应用到父OU的组策略会继承到子OU上面，但如果子OU不想的话，可以配置成“阻止继承”，这样所有的应用到父OU的组策略就都不会影响到子OU了。但是如果应用到父OU的组策略是“强制”的话，子OU就必须继承父OU的组策略了，即使子OU设置了“阻止继承”也不行。如果子OU的组策略中有与带有“强制”属性的父OU的组策略相冲突的设置，则带有“强制”属性的父OU的组策略会覆盖掉子OU的组策略中与其相冲突的设置。

七、关于软件限制策略的例子：

在“组策略编辑器”中，windows设置——安全设置——软件限制策略——其他规则中建立。把exe的路径填入即可。也可用变量，如%systemroot% 。 *QQ*则代表了只要路径中有QQ字符，即匹配（允许运行或禁止运行）

八、一台加入到域的计算机，用本地用户登录，是否会使用域组策略？答：会应用域中关于计算机的组策略，但不会应用用户组策略。

相关链接：

组策略技术中心： www.microsoft.com/technet/grouppolicy

GPMC主页： www.microsoft.com/windowserver2003/gpmc/default.mspx

使用GPMC管理组策略交互课程： www.microsoft.com/windowserver2003/evaluation/demos/sims/gpmc/viewer.htm

webcast论坛： bbs.mscommunity.com/forums/