GPO组策略 权限处理之原则

         由于这几天在搞域控的一些设置，涉及到了组策略的问题，竟然是已经好多概念都模糊了，故整理记录一下，方便日后查询。

         配置新的安全策略后,原则上在工作站或服务器上，每90分钟更新一次安全性设置,而在域控制器则5分钟更新一次;初此之外,在没有任何更改的情况下,这些安全设置每16小时会更新一次。如果我们想要强迫更新，就需要 命令gpupdate。

          用法：gpupdate "/target:{computer| user}" "/force" "/wait:value" "/logoff" "/boot"

           参数说明：

                   /target:{computer| user :  只针对计算机设置或目前用户设置做更新，默认值是两者的设置都重新整理。
                  /force ：省略所有最佳化以及重新套用所有设置的进程动作。
                  /wait:value ：等待完成策略处理的秒数时间，默认是600秒，0代表不等待，而-1代表无限等待。
                  /logoff ：当安全性设置更新完成后登出系统。这是针对那些组策略客户端的扩充，它是在用户登陆时做处理，例如：用户组策略软件安装以及文件夹重新导向，而不是在背景更新周期中作处理。然而，这个选项在不需要用户登出时，是无法发挥作用的。
                 /boot ： 当安全性设置重新整理后，计算机会重新启动。

               ／？：显示指令的使用说明档。

GPO 组策略 权限处理之原则：

一． 继承性。子容器继承父容器的配置。

二． 子容器配置了策略，则优先父容器。

三． 组策略累加性。

GPO 冲突处理原则

一． 处理顺序在后的 GPO 优先。 处理顺序是 站点 --- 域 ---OU

二． 先处理计算机配置，再处理用户配置，二者有冲突，以计算机配置优先。

三． 多个 GPO 在同一个 OU 配置将累加，如果相互有冲突，排前的优先。

四． 本地计算机配置优先权最低，站点。域。 OU 配置优先。

GPO 的例外配置

一． 阻止策略继承。组策略属性页面 左小钩选上。

二． 强制策略继承。组策略属性页面 —> 选项 à 阻止替代 钩上。（不管你是否阻止了组策略的继承都会应用组策略）

三． 过滤组策略。在某个 OU 上 OU 里的用户排除某个用户，组策略属性页面 à 属性 à 安全 à 添加某人 à 钩选 读取和应用组策略 为拒绝。