如何区分计算机策略

计算机的策略大体上分为四类，分别是本地策略，域策略，站点策略以及 OU 策略。其中本地策略是每台计算机都有的，而后三者只有在域环境下才有。他们的优先级顺序从低到高分别为： local policy （本地）－ >site policy （站点）－ >domain policy （域）－ >ou policy （组织单元）。

 

当一台计算机处于工作组模式，它只会执行本地安全策略；当它处于域模式，则至少要执行本地安全策略和域安全策略；而当它处于域模式且为 DC （ Domain Controller ），则至少要执行本地安全策略、域安全策略和域控制器安全策略三个策略。由于处于域模式的计算机要执行多条策略，为了保证策略相互之间不冲突，必须采取相应的措施。默认情况下，当多条策略之间不产生冲突的时候，多条策略之间是合并关系，即同时生效执行；但当产生冲突的时候，优先级高的策略会替代优先级低的策略。

 

为了尽量避免组策略之间的冲突，或者达到管理员组策略集中设定控制的目的，我们首先需要了解各个策略自身作用的范围（假定计算机处于域模式）。本地策略，即作用于本地计算机的策略，当域策略没有定义时执行该策略。域安全策略，即整个域的策略。域控制器安全策略，它属于 OU 策略的一种，只作用在 Domain Controller 这个组织单元（ OU ）上，即 Domain Controller 的组策略 ”Default Domain Controller Policy” 。换言之，修改域控制器安全策略和修改 Domain Controller 组织单元中的 ”Default Domain Controller Policy” 效果是一样的。除此之外，域控制器安全策略不与域安全策略冲突。而当本地策略与域安全策略冲突时，执行的是域安全策略。

 

下面我们通过一个简单的例子加以说明。假设域模式中，本地策略中帐户的密码长度最小值为 8 个字符，域安全策略中帐户的密码长度最小值为 10 个字符，而域控制器安全策略中帐户的密码长度最小值为 12 个字符。那么域中的所有计算机的密码长度最小值为 10 个字符，在本地通过运行 gpedit,msc 调用组策略控制台，查看相应的数值已改为 10 个字符，并且不允许本地修改此数值（显示为灰色锁定状态）；而域控制器安全策略中没有改变，仍为 12 个字符。

 

最后，关于管理员如何有效地使用计算机策略达到相关管理目标，提以下几点：

1、   域模式中，如果要集中统一定制组策略，则在域安全策略中设定即可。

2、   域模式中，如果要针对不同用户进行组策略管理，则先划分不同的 OU ，然后设定相应 OU 的组策略即可。

3、   域模式中，如果不想对计算机进行组策略管理，则将域安全策略和域控制器安全策略设定为“没有定义”即可。

4、   工作组模式中，只能通过本地管理员进行单台组策略设定。