组策略对象可以应用到的容器包括：站点、域、和OU中。

默认的域策略、域控制器策略尽量不要去修改。

默认的域策略会影响到所有的域内的用户，计算机以及DC，默认的域控制器策略只会影响到域内的所有的域控制器。

组策略（group policy）对象包括组策略容器（GPC）和组策略模板（GPT）组策略是AD集中管理的工具。

GPC存放在AD用户和计算机中。

存放位置如下：高级功能-选择域-system-policies对应的UID中，单击属性可以查看版本号等信息，CPT存放于sysvol\域名\polilcies\ID number下的文件夹下，包含计算机和用户的配置，以及版本号。

多个GPO可以链接到一个容器，一个GPO可以链接到多个容器。

计算机如何知道组策略是否更改过？如何获取适合自己的组策略？计算机在登录时首先查看GPlink（adsiedit.msc中域-属性-属性编辑器），查看ID和对应的版本号是否更改过，以便登录的时候实施对应的组策略。

计算机和用户如果要应用组策略对象的设定：计算机和用户必须位于GPO有链接的SDOU容器内。

必须对GPO要有读取和应用组策略的权限。

组策略对象冲突时：1：计算机策略覆盖用户策略。

2：不同层次的策略产生冲突时，子容器上的GPO优先级高3：同一容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高。

（按照链接的组策略对象的顺序执行）总体原册：后执行的优先级高。

变更组策略管理顺序：阻止继承，强制。

设为强制的GPO优先级最高。

阻止继承：就是在父策略的对象不在子策略中实施。

不要轻易设置强制和阻止继承。

方便排错。

安全策略：删除默认的authenticated user组，按照GPO设定创建安全组，为安全组分配权限。

问题：如何实现OU内的GPO只对OU内特定人员生效？（GPO只对财务部OU和销售部OU的经理生效）使用安全过滤；在AD用户和计算机上新建一个安全组，将需要生效的成员（经理）添加进来，在所要生效的GPO中右击属性-委派-高级，删除默认的authenticated user组，将新建的安全组添加进来，权限中设置读取和应用组策略权限即可。

（尽量不要使用，方便排错）如何使其他用户具有编辑组策略的权限？在所设置的组策略上点击添加，将用户添加进来，给予相应的权限，给定的用户即可编辑对应的组策略。

如何设置域中用户具有修改域的所有组策略（不包含给定权限的用户自己编辑的组策略）的权限？单击AD用户和计算机，单击group policy creator owners-属性，将需要添加的成员添加进来即可。

如何设置域中GPO的链接的权限？（将设置的组策略对象链接到相应的容器中的权限）在AD用户和计算机上单击域，右击委派控制-添加，将要添加的用户添加进来，然后给予相应的权限即可。

如何查看当前系统新增的组策略功能？GPedit中单击管理模板-查看-筛选器选项，勾选相应选项即可查看。

组策略结果集RSoP的用处？MMC中添加策略的结果集即可以打开RSoP可以选择记录模式和计划模式，记录模式显示当期应用的组策略结果，计划模式显示模拟的即将应用的组策略结果，单击更改查询切换，进行查询。

GPMC中策略的结果为RSoP的记录模式。

（推荐使用）提供HTML报告，可以保存报告组策略建模的作用？打开方式：GPMC中，右键组策略建模、OU节点、域名节点下拉菜单中单击组策略建模向导。

在组策略排错方面与组策略结果集配合使用可以方便排错。

软件限制策略常用有哪些？有路径规则域哈希规则。

路径规则可以限制咋某个路径下的文件的限制，用户修改了此文件的路径，便无效。

哈希规则即为限制某个文件的哈希值，无论文件在何处，都不可以运行。

如果一个程序有多个软件限制策略规则，该如何应用？按照1：哈希；2：证书；3：路径；4：internet区域路径规则；优先级顺序执行。

组策略的执行顺序为：本地策略、站点策略、域策略、父OU策略、子OU策略。

后执行的优先级高。

如多于一个的同类规则作用于同一个程序，则同类规则中最具有限制能力的规则起作用。

使用软件限制策略的最佳实践：1.不要修改默认的域策略，不要链接外域策略。

2.坚持为软件限制策略建立独立的组策略对象。

3.如果应用软件限制策略出现预期之外的问题，请以安全模式启动计算机修正策略。

4.为获得最好的限制效果，请连同访问策略一起使用软件限制策略。

5.在软件限制策略应用前应在测试环境进行测试。

6.慎重使用“不允许的”默认策略7.不要删除系统自动建立的注册表路径规则多个组策略的合并1.默认安全级别、文件类型、check dll、skip admin均由最高及的GPO设置2.附加规则将被合并3.如同时在计算机和用户上建立了SRP（安全级别），则：1.限制最严格的默认安全级别被选择2.文件类型以计算机的优先，没有才使用用户的3.skip admin一直用计算机的策略4.check dll只要设置了就启用5.其他规则将被合并软件分发的共享文件夹权限如何设置及操作步骤？先在服务器端建立一个共享文件夹设置成隐藏共享，只读和执行即可，无须给更高权限。

其次策略-软件设置，点击软件安装。

选择网络路径安装，不可点击本地路径安装。

路径指向隐藏的共享文件夹，客户端在登录的时候双击此文件便自动安装。

指派和发布如何区分？将软件指派给计算机，会安装到all user中，所有使用此计算机的用户均可使用，仅管理员可卸载。

将软件指派给用户，会在开始菜单中添加一个快捷方式，双击即安装。

不能将软件发布给计算机。

将软件发布给用户时，会在添加删除程序中显示发布的软件。

单击此软件程序的文件时，会自动查询DC后，关联进行安装。

系统会通过指派或发布的软件自动探测并修复已经损坏的软件。

软件发布指派时，单击软件安装-属性，指定将要发布的软件的网络位置，\\计算机名\文件夹对于要写入注册表的软件，打开组策略的安全模板-兼容性安全模板，降低客户端对注册表的权限。

文件夹重定向如何操作？服务器端创建共享文件夹，在共享和安全给予相应足够的权限，单击组策略管理器-目标，文件夹重定向，设置选择高级，指定安全组成员身份（为哪些用户做文件夹重定向）添加，选择安全组成员，及根路径（须为网络路径），设置选项查看相应选项。

GPMC中的安全筛选很重要。

可以限制特定用户使用某个GPO。

迁移表的用处？跨域迁移在实验环境中调试的GPO想应用于生产环境中，在复制和导入时，安全主体（用户名、组、计算机）UNC不一致，应用之前使用迁移表，影射源GPO中的安全主体、UNC到目标GPO中新值的文件。

打开迁移表方式：mtedit.exe GPMC下，右击域下拉菜单中选择打开迁移表编辑器。

右击组策略对象中选择打开迁移表编辑器。

适用于迁移表的安全主体包括：安全策略设置中的用户权限分配、受限制的组、系统服务、文件系统、注册表高级文件夹重定向策略设置GPO的DACL（执行复制操作时，选择保留）软件安装对象的DACL适用于使用迁移表的UNC：文件夹重定向策略设置软件安装策略设置中的软件分发点脚本指针使用迁移表：使用前先验证表（工具-验证表）“从GPO写入”和“从备份写入”自动填充迁移表推荐使用使用“独占方式使用迁移表”如何禁止客户端本地登录，只能使用域环境登录？打开GPMC，在所要设置的GPO中编辑如下：计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中，单击允许本地登录，安全选项中，帐户：管理员帐户状态，禁用，可以实现只能登陆到域。

管理模板管理模板的策略是基于注册表的策略，管理模板定义了如何修改注册表。

组策略中提供大量的设定使管理员可以通过一次设定，管理多台计算机或者多个用户。

组策略中很大一部分设定实际上是改动注册表（registry_based_policy）管理模板（.Adm）文件定义了组策略如何修改注册表所有基于注册表的组策略设定存为registry.pol,存放在sysvol中。

.adm文件实际上提出一种供企业管理员管理客户端注册表/应用程序的配置方法。

组策略的实践技巧1.单独保留默认的GPO密码、帐户锁定、kerberos策略、登录时间用完自动注销用户、重命名管理员帐户和重命名来宾帐户必须在域级别实现。

2.设计你的OU结构一． 将DC放在DC所在的OU并单独管理，不要移动，此OU中含有default domain controller policy 二． 为用户和计算机创建单独的OU使用OU把用户和计算机按照角色分组。

不同角色的用户、服务器放在不同的OU中域控制器保留在默认的domain controllers OU下3.反对跨域GPO链接（父域的GPO直接链接到子域中）一． 将明显的影响处理时间（加大处理时间）增加排错难度二． 违反问题简单化的原则，在一个域中更改GPO设置将影响到另一个域三． 使用GPO备份和复制实现父域与子域使用相同的GPO，不必跨域链接4.谨慎使用强制、阻止继承、回环处理模式一． 增加了处理时间和排错难度（可以使用强制，但不要使用阻止继承）二． 回环处理模式会给排错带来负担，但有特定的场景使用（1）.通常用于保证等于的每一个用户都能获得相同的配置（2）.用于特定的计算机（公共场所的电脑、图书馆）（3）.需要基于使用的计算机来修改用户策略（4）经常用户终端服务实现5.一切简单化一． 每增加一个GPO都会增加复杂性二． 限制谁能创建、修改、链接GPOs(委派)三． 如果可能的话，尽量使用：默认的域策略（用户帐户设置）基线的安全策略（强制）（应用到域中的每个用户，计算机）一个指定OU的策略（专门针对某个OU包含一些唯一设置的GPO）四． 反对为每一个GPO设置安全过滤器五． 仅仅对每个GPO中需要的设置做修改，其他保留默认状态6.在GPMC中进行所有的操作一． 使用GPMC的RSOP工具二． 在测试环境和生产环境进行迁移7.即使没有改变设置也强制重新应用策略一． 组策略位置：计算机或用户配置-管理模板-系统-组策略-每一种策略的类型（策略处理）二． 适用于当用户是计算机的本地管理员组的成员时三． 考虑禁用“允许通过慢速网络连接进行处理”（低于500k/s）提高网络流量8.使windowsXP同步处理组策略组策略位置：计算机配置-管理模板-系统-登陆-计算机启动和登陆时总是等待网络9.使用GPO的命名惯例一． 保证GPO的一致性并保证容易理解（创建GPO的人越多，一致性越差）二． 使用简洁的名字描述GPO的意图。

推荐三个关键字符命名：范围、目的、谁管理10.为新的帐户指定策略一． 默认情况下所有新帐户不能链接GPOs到这些容器二． 域中使用rediruser.exe和redircmp.exe指定所有新计算机/ 用户帐户创建时的默认OU 三． 要求windows服务器域的功能级别至少为windows2003四． 允许使用组策略管理新创建的帐户11.如何阻止用户访问特定的驱动器？一． 组策略位置：用户配置-管理模板-windows组件-windows资源管理器-防止从“我的电脑”访问这些驱动器二． 下载GPdriveoption12.密码存储安全一． 不允许存储LM哈希值，位置：计算机配置-windows设置-安全设置-本地策略-安全选项-网络安全：不要在下次更改密码时存储LM manager哈希值。