计算机的策略大体上分为四类,分别是本地策略,域策略,站点策略以及OU策略。其中本地策略是每台计算机都有的,而后三者只有在域环境下才有。他们的优先级顺序从低到高分别为:local policy(本地)->site policy(站点)->domain policy(域)->ou policy(组织单元)。
当一台计算机处于工作组模式,它只会执行本地安全策略;当它处于域模式,则至少要执行本地安全策略和域安全策略;而当它处于域模式且为DC(Domain Controller),则至少要执行本地安全策略、域安全策略和域控制器安全策略三个策略。由于处于域模式的计算机要执行多条策略,为了保证策略相互之间不冲突,必须采取相应的措施。默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是合并关系,即同时生效执行;但当产生冲突的时候,优先级高的策略会替代优先级低的策略。
为了尽量避免组策略之间的冲突,或者达到管理员组策略集中设定控制的目的,我们首先需要了解各个策略自身作用的范围(假定计算机处于域模式)。本地策略,即作用于本地计算机的策略,当域策略没有定义时执行该策略。域安全策略,即整个域的策略。域控制器安全策略,它属于OU策略的一种,只作用在Domain Controller这个组织单元(OU)上,即Domain Controller的组策略”Default Domain Controller Policy”。换言之,修改域控制器安全策略和修改Domain Controller组织单元中的”Default Domain Controller Policy”效果是一样的。除此之外,域控制器安全策略不与域安全策略冲突。而当本地策略与域安全策略冲突时,执行的是域安全策略。
下面我们通过一个简单的例子加以说明。假设域模式中,本地策略中帐户的密码长度最小值为8个字符,域安全策略中帐户的密码长度最小值为10个字符,而域控制器安全策略中帐户的密码长度最小值为12个字符。那么域中的所有计算机的密码长度最小值为10个字符,在本地通过运行gpedit,msc调用组策略控制台,查看相应的数值已改为10个字符,并且不允许本地修改此数值(显示为灰色锁定状态);而域控制器安全策略中没有改变,仍为12个字符。
最后,关于管理员如何有效地使用计算机策略达到相关管理目标,提以下几点:
1、 域模式中,如果要集中统一定制组策略,则在域安全策略中设定即可。
2、 域模式中,如果要针对不同用户进行组策略管理,则先划分不同的OU,然后设定相应OU的组策略即可。
3、 域模式中,如果不想对计算机进行组策略管理,则将域安全策略和域控制器安全策略设定为“没有定义”即可。
4、 工作组模式中,只能通过本地管理员进行单台组策略设定。
