•如果是用户配置，域内的用户会在以下情况下启用GPO内的配置： • 用户登录时。
• 在用户未注销、登录的情况下，系统默认在90~120分钟内启用。
• 不论策略配置值是否发生改变，系统会每隔16小时自动启用一次 组策略。
• 立即启用。则可以在“命令提示符”下运行以下命令：
gpupdate /target:user /force •不过，部分组策略的配置，必须在计算机重新启动或用户重新登录时才 会启用，如“软件安装策略”、“文件夹重定向策略”。
10.1.1 组策略的特点
• 微软的操作系统从Windows 2000开始提供了组策略 功能，对于早期的Windows NT 4.0和Windows 98 等操作系统仅提供了组策略管理工具。组策略主要 具有以下的特点：
– 一是实现“one-to-many”方式的管理。 – 二是实现对客户端的分类管理。 – 三是实现对客户端的远程管理。。
10.2 组策略应用中的一些概念
10.2.1 计算机配置和用户配置 •组策略中包含“计算机配置”和“用户配置”两部分。其中，计算机配 置用于当启动计算机时，系统就会根据已设置的计算机配置内容来配置 计算机的环境 •当用户登录时，系统会根据已设置的用户配置的内容来配置用户的工作 环境。例如，如果在活动目录域中针对某一个组织单位设定了组策略， 那么该组策略内的用户配置就会被应用到该组织单位内的所有用户。 •另外，除可以针对域、组织单位等来设定组策略外，还可以针对一台计 算机配置“本地计算策略”，但这个计算机策略只会应用到本地计算机 以及在该计算机登录的所有用户。
Policy” 已经被链接到域，被应用到整个域内的所有用户与计算机。而“ Default
Domain Controller Policy”已经被链接到“Domain Controllers”组织单位，被应用 到域控制器组织单位内的所有用户与计算机。
图 10.1 应用于域控制器的组策略
图 10.2 应用于“Domain Controllers”的组策略
•10.2.2 组策略对象
•组策略是通过“组策略对象”（Group Policy Object，GPO）来设定的，只要将 GPO链接到指定的站点、域或组织单位（OU），该GPO内的设定策略就会作用 于该站点、域或OU内的所有用户和计算机。 •在安装了活动目录域控制器后，系统内建了两个GPO。其中，“Default Domain
• 掌握文件夹重定向策略的功能及配置方法 • 掌握通过组策略向域客户端分发和管理软件的方法 • 掌握利用软件限制策略管理用户端软件的实现方法
10.1 组策略概述
组策略定义了需要由系统管理员管理的用户桌面环境中的各种组件， 例如，用户可以使用的程序出现在用户桌面上的程序以及“开始”菜 单选项等。用户指定的组策略设置包含在一个组策略对象（Group Policy Object，GPO）中，该组策略对象又与选定的活动目录 （Active Directory，AD）对象（如站点、域或组织单位）关联。
10.2.3 组策略的应用时机
当修改了站点、域或OU的GPO配置后，这些配置值并非马上应用到指定站点、 域或OU内的用户与计算机，而是依据是计算机配置还是用户配置，以及所采取 的措施而定。 其中，如果是计算机配置，域内计算机会在以下情况下启用GPO内的配置： • 启动计算机时。 • 在没有重启计算机的情况下，如果是域控制器则默认每隔5分钟后自动启用， 如果是非域控制器则默认90~120分钟内自动启用。 • 不论策略配置值是否发生改变，系统会每隔16小时自动启用一次组策略。 • 如果在修改了组策略配置后需要立即启用，则可以在“命令提示符”下运行以 下命令： gpupdate /target:computer /force
•10.2.4 组策略的处理规则
•一是子容器继承父容器的组策略。 •二是子容器的组策略配置将覆盖父容器的组策略配置。 •三是组策略配置值的累加性。举例来说，如果在某一域内启用了 GPO，同 时为该域内的某一个组织单位（OU）也启用了GPO。这时，该组织单位中 的计算机与用户真正起作用的 GPO 配置是前面两者的累加，即将域内的 GPO 和组织单位内的 GPO 累加起来，作为组织单位的 GPO 。不过，在此过 程中，当域内的 GPO与组织单位内的 GPO 配置发生冲突时，则以处理顺序 在后的GPO优先。另外，如果将多个GPO链接到同一个OU，那么所有GPO 的配置将被累加起来，作为最后的有效配置值。 •四是“计算机配置”优先。如果组策略内的“计算机配置”与“用户配置” 发生冲突时，一般情况下是以“计算机配置”优先。
第10讲 用组策略管理网络
★ 学习目标 ★
• 熟悉组策略的概念、功能和应用特点 • 掌握账户管理策略、用户权限分配策略、安全策略和 脚本策略的配置及应用 • 掌握文件夹重定向策略的功能及配置方法 • 掌握通过组策略向域客户端分发和管理软件的方法 • 掌握利用软件限制策略管理用户端软件的实现方法
重点难点
• 3． 安全设置
• 在组策略中可以通过分发密码策略、账户锁定策略等安全策略，来实 现对客户端的安全设置。同时，通过组策略还可以实现对客户端用户 权限的管理，如是否允许关机等。
•4． 基于注册表的设置 •5． IE维护
•6． 脱机文件夹
•7． 漫游配置文件和文件夹重定向 •文件夹重定向是 IntelliMirror （智能镜像）的一个特性，它允 许用户将一个文件夹的路径重定向到一个新位置。这个新位置 可能是一个本地计算机上的文件夹，还可能是一个网络共享目 录。 •8． 计算机和用户脚本
– 四是实现对客户端的安全管理。五是实现标准的用户环境。
• 10.1.2 组策略的功能 • 通过组策略，可以进行如下的操作： • 1． 软件分发 • 通过组策略可以将软件分发到每一个客户端，管理员不需要分别到以限制客户端能够使用哪一种或哪一类型的软件。此功能是 Windows XP/2003/Vista操作系统中新增加的一个功能， Windows 2000及以前版本的操作系统中不具有此功能。