组策略环回处理

http://support.microsoft.com/kb/231287/zh-cn


组策略以某种方式应用于用户或计算机,而这种方式取决于用户和计算机对象位于 Active Directory 中的什么位置。 但在某些情况下,用户可能需要仅根据计算机对象的位置来应用策略。 要想仅根据用户登录到哪个计算机来应用组策略对象 (GPO),可以使用组策略环回功能。


要设置每台计算机的用户配置:

  1. 在“组策略”Microsoft 管理控制台 (MMC) 中,单击计算机配置

  2. 找到管理模板,然后单击系统,再单击组策略,然后启用环回策略选项。

该策略将指示系统把该计算机的 GPO 集合应用于登录到受该策略影响的计算机的所有用户。 该策略特别适用于特殊用途的计算机,在这些地方,必须根据使用的计算机来修改用户策略,例如,位于公共场合、实验室和教室中的计算机。 

备注: 只有纯粹基于 Windows 2000 的环境下才支持环回功能。 计算机帐户和用户帐户都必须位于 Active Directory 中。 如果其中某个帐户是由 Microsoft Windows NT 4.0 域控制器管理的,那么,环回将无效。 客户端计算机必须是 Windows 2000 计算机。 

当用户在自己的工作站上工作时,可能希望根据用户对象的位置来应用组策略设置。 因此,建议您以用户帐户所在的组织单元 (OU) 为单位来配置策略设置。 但是,有可能出现这样的情况:计算机对象驻留在指定的 OU 中,而且根据计算机对象而不是用户对象来应用策略中的用户设置。 

根据正常的组策略处理过程的指定,OU 中的计算机是在计算机启动期间按顺序来应用 GPO 的。 而 OU 中的用户则是在登录期间按顺序来应用 GPO 的,这与他们登录的是哪个计算机无关。 

某些情况下,该处理顺序可能是不合适的,例如,一些应用程序已被指派或发布给在某些 OU 中的用户,但当他们登录到在某个特定 OU 中的计算机时,您并不想让这些应用程序安装在该计算机上。 使用组策略环回支持功能,可以指定采用其它方式来为这个特定 OU 中的计算机的任何用户检索出针对他们的 GPO 列表,这些方式包括:

  • 合并模式 
    在该模式中,当用户登录时,将通过使用 GetGPOList 函数正常收集用户的 GPO 列表。 然后,再次调用 GetGPOList 函数,在这次调用中使用计算机在 Active Directory 中的位置。 然后,计算机的 GPO 列表被添加到用户 GPO 的末尾。 这将导致计算机的 GPO 具有比用户的 GPO 更高的优先权。 在该例中,计算机的 GPO 列表被添加到了用户的列表中。

  • 替代模式 
    在该模式中,不收集用户的 GPO 列表。 只使用基于计算机对象的 GPO 列表。


你可能感兴趣的:(windows,server,计算机,组策略,环回处理)