默认情况下,组策略可以继承和累积,并影响 Active Directory 容器及其子容器中的所有计算机和用户。 与计算机相关的策略设置会覆盖用户相关的策略设置。
组策略对象 (GPO) 按以下顺序进行处理:
- 应用本地 GPO。
- 应用链接到站点的 GPO。
- 应用链接到域的 GPO。
- 应用链接到组织单位的 GPO。 对于嵌套组织单位 (OU),链接到父组织单位的 GPO 在应用到子组织单位的 GPO 之前被应用。
默认继承方法是从最高的父 Active Directory 容器开始评估组策略。 最靠近计算机或用户的 Active Directory 容器会覆盖在更高级别的 Active Directory 容器中设置的组策略。 为该 GPO 链接设置强制选项或应用阻止继承设置时,将忽略继承。 本地组策略在基于域的策略之前进行处理。 链接到 Active Directory 容器的 GPO 中的策略设置会覆盖本地策略设置。
可以将多个 GPO 链接到 Active Directory 容器。 默认情况下,组策略对象链接列表中链路顺序最低的 GPO 链路优先。
计算机启动时,将应用计算机设置的组策略。 在用户登录时应用组策略。 此策略的初始处理也称为前台策略应用。
组策略的前台处理可以是同步的,也可以是异步的。 在同步模式下,在成功应用计算机策略之前,计算机不会完成系统启动。 在成功应用用户策略之前,用户登录过程不会完成。 在异步模式下,如果没有需要同步处理的策略更改,计算机可以在计算机策略应用完成之前完成启动顺序。 在异步模式下,也可以在用户策略应用完成之前,将桌面提供给用户使用。 然后,系统会定期在后台应用(刷新)组策略。 在刷新期间,将异步应用策略设置。
所有策略处理必须在 60 分钟内完成。 没有方法修改此超时期限。
系统对组策略进行初始化处理(也称为前台策略应用)后,会定期在后台应用(刷新)组策略。 在刷新期间,将异步应用策略设置。
默认情况下,刷新每 90 分钟发生一次。 系统可能会在刷新间隔中添加一个不超过 30 分钟的随机时间。 可以通过使用组策略的管理模板扩展中的组策略设置,更改这些默认值。 将该值设置为 0 分钟后,刷新频率将设置为 7 秒。 并非所有组策略扩展都在后台刷新期间处理。 例如,仅当用户登录时,才会进行文件夹重定向处理。 此外,仅当计算机启动和用户登录时,才会处理软件安装策略。
即使系统在后台刷新期间处理组策略的脚本扩展,单个脚本也只在计算机启动和关闭以及用户登录和注销时运行。
在策略刷新期间,默认情况下,客户端扩展只有在检测到其 GPO 之一或 GPO 列表发生更改时才重新应用策略设置。 行为是出于性能原因。
确定是否有任何策略设置必须始终针对特定的用户组或计算机强制执行。 创建包含这些策略设置的 GPO,将其链接到相应的站点、域或 OU,并将这些链接指定为强制执行。 通过设置此选项,可以通过阻止较低级别的 Active Directory 容器中的 GPO 替代它们来强制执行更高级别 GPO 的策略设置。 例如,如果在域级别定义特定的 GPO 并设置强制执行的选项,则 GPO 包含的策略将应用于该域下的所有 OU。 链接到较低级别的 OU 的 GPO 无法替代强制执行的域组策略。 如果多个 GPO 链接到同一站点、域或 OU,且设置了强制执行的选项,则设置为强制执行的最高 GPO 链接优先。
可以在 OU 级别使用“阻止继承”选项来停止在本地、站点、域和更高 OU 级别应用的设置。 “阻止继承”会阻止父继承影响 OU 中计算机或用户的配置。 虽然“阻止继承”会停止通常应用于 OU 中的计算机和用户的设置,但此设置不会阻止通过与强制选项链接的 GPO 应用的设置。 强制执行是链接属性,块策略继承是容器属性。 强制执行优先于块策略继承。
此外,还可以通过其他四种方式禁用 GPO 本身的策略设置。
- 可以禁用 GPO
- GPO 可以禁用其计算机设置
- 其用户设置已禁用
- 其所有设置都已禁用
可以使用安全筛选或 Windows Management Instrumentation (WMI) 筛选器来筛选 GPO 是否应用。
通过安全筛选,可以优化哪些用户和计算机接收并应用 GPO 中的策略设置。 安全组筛选确定 GPO 是应用于组、用户还是计算机。 不能在 GPO 内的不同策略设置上选择性地使用安全组筛选。
WMI 允许使用 WMI 查询来筛选组策略的应用。 使用 WMI 筛选时,GPO 将应用于满足 WMI 查询条件的安全主体。 每个 GPO 都可以链接到一个 WMI 筛选器;但是,同一 WMI 筛选器可以链接到多个 GPO。 必须先创建 WMI 筛选器,然后才能将其链接到 GPO。 在处理组策略期间,将在目标计算机上评估 WMI 筛选器。 只有当 WMI 筛选器的计算结果为 true 时,GPO 才会应用。
无论谁登录,环回处理模式都应用分配给计算机的组策略对象的用户配置设置。 环回处理将合并或替换分配给用户的 GPO 中的用户设置。 此策略设置适用于具有特殊用途计算机(如教室、公共信息亭和接待区域)的某些管理严密的环境。 例如,你可能希望为特定的服务器启用此策略设置,在该服务器中,必须根据正在使用的计算机修改用户设置。 启用环回处理模式策略设置会指示系统根据应用于计算机的策略,对登录计算机的任何用户应用相同的用户策略设置。
通过在 GPO 中启用环回处理策略设置,可以根据用户登录的计算机配置用户策略设置。 如果没有环回处理,应用计算机对象的 GPO 将仅处理计算机配置设置。 应用于用户的 GPO 将只处理用户配置设置。 启用环回处理模式策略设置时,必须确保 GPO 中的“计算机配置”和“用户配置”设置都已启用。 无论哪个用户登录,都会应用这些策略设置。
通过使用组策略管理控制台编辑 GPO,并启用 Computer ConfigurationPoliciesAdministrative TemplatesSystemGroup Policy 下的配置用户组策略环回处理模式策略设置,可以配置环回策略设置。 两个选项可用:
- 合并模式:在此模式下,在登录过程中收集用户的 GPO 列表。 然后,收集计算机的 GPO 列表。 接下来,将计算机的 GPO 列表添加到用户的 GPO 末尾。 因此,计算机的 GPO 比用户的 GPO 具有更高的优先级。 如果策略设置冲突,则应用计算机的 GPO 中的用户策略设置,而不是用户的正常策略设置。
- 替换模式:在此模式下,不会收集用户的 GPO 列表。 而是仅使用基于计算机对象的 GPO 列表。 此列表中的“用户配置”设置将应用于用户。
刷新组策略的主要机制是在启动时和登录。 组策略也会在其他时间间隔定期刷新。 策略刷新间隔会影响 GPO 更改的应用速度。 默认情况下,客户端和服务器使用最多 30 分钟的随机偏移量,每 90 分钟检查一次 GPO 的更改。 对组策略设置的更改可能无法立即在用户的桌面上使用,因为对 GPO 的更改必须首先复制到相应的域控制器。
域控制器每五分钟检查一次计算机策略更改。 可以使用以下策略设置之一更改此轮询频率:计算机的组策略刷新间隔、域控制器的组策略更新间隔或用户的组策略重新刷新间隔。 不建议缩短刷新之间的频率,因为这可能会增加网络流量并增加域控制器上的负载。
GPO 的组件存储在 Active Directory 和域控制器的 SYSVOL 文件夹中。 通过两种独立的机制将 GPO 复制到其他域控制器:
- Active Directory 的内置复制系统控制 Active Directory 的复制。 默认情况下,同一站点内的域控制器之间的复制通常花费不到一分钟的时间。 如果网络速度比 LAN 慢,则此过程可能会变慢。
- 分布式文件系统复制 (DFSR) 控制 SYSVOL 文件夹的复制。 在站点中,复制每 15 分钟进行一次。 如果域控制器位于不同的站点,则复制过程会根据站点拓扑和计划以设定的间隔进行,最低间隔为 15 分钟。
如有必要,可以通过以下方式手动触发组策略刷新:
- 在本地计算机上,从命令行中输入 。 运行 会触发运行命令的计算机的策略刷新。
- 使用 PowerShell cmdlet。 可以使用此 cmdlet 触发本地计算机的刷新或触发远程计算机的刷新。
- 右键单击 OU,并选择组策略更新,使用组策略管理控制台在 OU 级别触发组策略刷新。
若要减少处理 GPO 所需的时间,请考虑使用以下方法。
- 当 GPO 仅包含计算机配置或用户配置设置时,请禁用策略设置中不适用的部分。 通过此优化,目标计算机不会扫描禁用的 GPO 部分,从而减少处理时间。
- 将较小的 GPO 合并成一个统一的 GPO。 此优化可减少应用于用户或计算机的 GPO 数量。 对用户或计算机应用较少的 GPO 可以减少启动或登录时间,并更容易对策略结构进行故障排除。
版权声明:
本文来源网络,所有图片文章版权属于原作者,如有侵权,联系删除。
本文网址:https://www.mushiming.com/mjsbk/5251.html