组策略系列之三：用户或计算机应用组策略的前提

    通过前面的学习，我们知道了 GPO加载过程，但如何让一个用户或计算机加载此策略呢？换句话说，用户或计算机登录或启用难道就一定会加载相应的组策略吗？

一、组策略的两种设置：
a)计算机配置:对计算机的相应设置，原则上无论是哪些用户在这些计算机上登录，都将加载此设置。
b)用户配置：对用户的相应设置，原则上无论这些用户在哪些计算机上登录，都将加载这些设置。

二、组策略的应用的容器：
LSDOU：
其中L-local本地组策略
S-site站点级别的组策略
D-Domain域级别的组策略
OU-OU级别的组策略
GPO只能链接到这些容器上，而应用或加载的顺序是先加载Local，再加载site的，再加载域的，最后再加载OU、子OU的。如果在同一个容器上用多条GPO，则处于列表最高位的最后加载。（一句话：最后加载的优先级最高，也就是说，如果多条策略设置冲突，则这些冲突的组策略中，最后加载的设置生效）

如下图所示：在一个容器上链接了两条GPO，二者的优先级如下图。

 

三、 组策略对象的继承：

默认下继承顺序 LSDOU 。即下级容器会继承上级容器的组策略。也就是说如果各级组策略的设置不冲突，则最终用户或计算机将应用所有组策略的设置（在默认情况下）。

四、 GPO 的冲突处理

1) 计算机策略覆盖用户策略（如果同一条策略，计算机和用户策略冲突）

2) 不同容器上的策略产生冲突，子容器上的 GPO 优先级高。

3) 同一容器上多个 GPO 产生冲突时，处于 GPO 列表最高位置的 GPO 优先级最高。

总体原则：后执行的优先级最高。

 

五、实施组策略：

如果你要想让用户或计算机能按你的要求加载其相应的组策略，你必须有两点必须满足，否则，上面这些根本实现不了！！

1 ）计算机和用户必须位于 GPO 有链接的 SDOU 容器内。

2 ）必须对 GPO 要有读取和应用组策略的权限。（ authenticated users 默认包括所有计算机和用户，具有此权限）。

如下图所示：在默认的情况下，任意一个GPO，所有 authenticated users 组的用户或计算机均可读取并应用。

如果我们不想让一个用户应用此GPO的设置，我们可以通过上面的委派项，进行详细的设置，给这个用户“拒绝读取组策略”的权限就可以了。如下所示：

在这个域内拒绝jack这个用户应用此域级别的GPO设置，如下操作即可。

 

这样，即使这个用户在域内，不管他在哪台计算机上登录，均不能应用domain-soft（install）这条策略中的用户设置。不知各位明白了没有？

 

我会在下节课和各位分享：组策略的默认应用顺序的改变！