组策略环回处理

http://support.microsoft.com/kb/231287/zh-cn

组策略以某种方式应用于用户或计算机，而这种方式取决于用户和计算机对象位于 Active Directory 中的什么位置。 但在某些情况下，用户可能需要仅根据计算机对象的位置来应用策略。 要想仅根据用户登录到哪个计算机来应用组策略对象 (GPO)，可以使用组策略环回功能。

要设置每台计算机的用户配置：

1. 在“组策略”Microsoft 管理控制台 (MMC) 中，单击计算机配置。

2. 找到管理模板，然后单击系统，再单击组策略，然后启用环回策略选项。

该策略将指示系统把该计算机的 GPO 集合应用于登录到受该策略影响的计算机的所有用户。 该策略特别适用于特殊用途的计算机，在这些地方，必须根据使用的计算机来修改用户策略，例如，位于公共场合、实验室和教室中的计算机。 

备注： 只有纯粹基于 Windows 2000 的环境下才支持环回功能。 计算机帐户和用户帐户都必须位于 Active Directory 中。 如果其中某个帐户是由 Microsoft Windows NT 4.0 域控制器管理的，那么，环回将无效。 客户端计算机必须是 Windows 2000 计算机。 

当用户在自己的工作站上工作时，可能希望根据用户对象的位置来应用组策略设置。 因此，建议您以用户帐户所在的组织单元 (OU) 为单位来配置策略设置。 但是，有可能出现这样的情况：计算机对象驻留在指定的 OU 中，而且根据计算机对象而不是用户对象来应用策略中的用户设置。 

根据正常的组策略处理过程的指定，OU 中的计算机是在计算机启动期间按顺序来应用 GPO 的。 而 OU 中的用户则是在登录期间按顺序来应用 GPO 的，这与他们登录的是哪个计算机无关。 

某些情况下，该处理顺序可能是不合适的，例如，一些应用程序已被指派或发布给在某些 OU 中的用户，但当他们登录到在某个特定 OU 中的计算机时，您并不想让这些应用程序安装在该计算机上。 使用组策略环回支持功能，可以指定采用其它方式来为这个特定 OU 中的计算机的任何用户检索出针对他们的 GPO 列表，这些方式包括：

• 合并模式 
  在该模式中，当用户登录时，将通过使用 GetGPOList 函数正常收集用户的 GPO 列表。 然后，再次调用 GetGPOList 函数，在这次调用中使用计算机在 Active Directory 中的位置。 然后，计算机的 GPO 列表被添加到用户 GPO 的末尾。 这将导致计算机的 GPO 具有比用户的 GPO 更高的优先权。 在该例中，计算机的 GPO 列表被添加到了用户的列表中。

• 替代模式 
  在该模式中，不收集用户的 GPO 列表。 只使用基于计算机对象的 GPO 列表。