组策略与OU 中的组没有关系,不要混淆了。系统管理员可利用组策略来管理AD 数据库中的计算机与用户。例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。 一、组策略的基本概念 1、组策略的设置数据保存在 AD 数据库中,因此必须在域控制器上设置组策略。 2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。 3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU) 4、组策略不适用于 WINDOWS9X/NT 的计算机,所以应用到这些计算机上无效。 5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。 GPO 的特性: 组策略的设置数据都是保存在“组策略对象“(GPO)中,GPO 具有以下特性: 1、GPO 利用 ACL 记录权限设置,可以修改个别 GPO 的 ACL,指定哪些人对该 GPO 拥有何种权限。 2、用户只要有足够的权限,便能够添加或删除 GPO,但无法复制 GPO。当 AD 域刚建好时,默认仅有一个 GPO--DEFAOLT DOMAIN POLICY。这个 GPO 可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略,通常会再另行建立 GPO,以方便管理。 GPO 的内容: GPO 有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。 2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。 下面来看下 打开属性 可以看到这里只有一个,而且是默认的。点编辑 来到这个默认GPO 编辑器。 在这个域树结构中,计算机设置和用户设置称为节点(NODE)而这两个节点又都包含了软件设置、WINDOWS 设置和系统管理模块三个子节点。介绍如下: 软件设置:此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。 WINDOWS 设置:在这里,系统管理员能够设置脚本文件、建立帐户策略、指派 USER RIGHT 和集中管理用户配置文件。WINDOWS 设置在计算机设置与用户设置内,分别有不同的设置项目:在计算机设置的WINDOWS 设置中,能够设置脚本文件与安全性设置策略。在用户设置的WINDOWS 设置中,能够设置INTERNET EXPLORER 维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。 系统管理模板:所有涉...
