通過前面的學習,我們知道了gpo載入過程,但如何讓乙個使用者或計算機載入此策略
呢?換句話說,使用者或計算機登入或啟用難道就一定會載入相應的組策略嗎?
一、組策略的兩種設定:
a)計算機配置:對計算機的相應設定,原則上無論是哪些使用者在這些計算機上登入,都將載入此設定。
b)使用者配置:對使用者的相應設定,原則上無論這些使用者在哪些計算機上登入,都將載入這些設定。
二、組策略的應用的容器:
lsdou:
其中l-local本地組策略
s-site站點級別的組策略
d-domain域級別的組策略
ou-ou級別的組策略
gpo只能鏈結到這些容器上,而應用或載入的順序是先載入local,再載入site的,再載入域的,最後再載入ou、子ou的。如果在同乙個容器上用多條gpo,則處於列表最高位的最後載入。(一句話:最後載入的優先順序最高,也就是說,如果多條策略設定衝突,則這些衝突的組策略中,最後載入的設定生效)
如下圖所示:在乙個容器上鏈結了兩條gpo,二者的優先順序如下圖。
三、組策略物件的繼承:
預設下繼承順序
lsdou
。即下級容器會繼承上級容器的組策略。也就是說如果各級組策略的設定不衝突,則終端使用者或計算機將應用所有組策略的設定(在預設情況下)。
四、gpo的衝突處理
1) 計算機策略覆蓋使用者策略(如果同一條策略,計算機和使用者策略衝突)
2) 不同容器上的策略產生衝突,子容器上的
gpo優先順序高。
3) 同一容器上多個
gpo產生衝突時,處於
gpo列表最高位置的
gpo優先順序最高。
總體原則:後執行的優先順序最高。
五、實施組策略:
如果你要想讓使用者或計算機能按你的要求載入其相應的組策略,你必須有兩點必須滿足,否則,上面這些根本實現不了!!
1)計算機和使用者必須位於
gpo有鏈結的
sdou
容器內。
2)必須對
gpo要有讀取和應用組策略的許可權。(
authenticated users
預設包括所有計算機和使用者,具有此許可權)。
如下圖所示:在預設的情況下,任意乙個gpo,所有
authenticated users
組的使用者或計算機均可讀取並應用。
如果我們不想讓乙個使用者應用此gpo的設定,我們可以通過上面的委派項,進行詳細的設定,給這個使用者「拒絕讀取組策略」的許可權就可以了。如下所示:
在這個域內拒絕jack這個使用者應用此域級別的gpo設定,如下操作即可。
這樣,即使這個使用者在域內,不管他在哪台計算機上登入,均不能應用domain-soft(install)這條策略中的使用者設定。不知各位明白了沒有?
我會在下節課和各位分享:組策略的預設應用順序的改變!
計算機專業課系列之三 程序和執行緒
一,作業系統的關鍵抽象 解析 1,把io裝置抽象成檔案,這樣使用者不用直接面對硬碟做操作了,因為硬碟是複雜的機械式裝置 磁碟塊,旋轉,扇區等 作業系統不僅把io裝置抽象成檔案。還包括控制台,輸入輸出裝置都可以抽象成檔案。2,物理主存 io裝置 抽象成 虛擬儲存器。虛擬儲存器是對記憶體和硬碟的抽象,他...
計算機校驗碼的思考 挖掘之三
校驗碼是用來校驗計算機部件之間交換的資料正確性。但是為什麼說計算機中乙個傳輸錯誤在乙個校驗單元中最多有乙個,很少出現兩個以上的錯位呢?通常來說計算機部件之間資料傳輸的可靠性是很高的,假設是99 以上的正確率。為了表示的更清楚,我們就假設錯位率為1 這樣的話,在乙個位元組中,有7位是可以用來傳輸真實資...
深入理解計算機系統之三 C程式編碼
假設有乙個hello.c程式,如下 include int main 我們在unix系統中編譯 gcc o hello hello.c編譯後執行.hello,就能看到結果了。當我們在系統上編譯hello程式時,系統做了些什麼?hello程式的生命週期是從乙個高階c語言程式開始的,因為這種形式能夠被人...