根据GPO在AD名字空间中的不同位置,可以有几个GPO对用户对象或计算机对象起作用。只有域中的其他对象是通过继承生成时GPO才是通过继承生成的。Win2K通过下面的方式执行GPO,首先,操作系统执行现有的本地系统上的策略,然后,Win2K执行定义的地址级的GPO、域一级的GPO和基于OU的GPO,微软把这一优先顺序取其首个字母缩写为LSDOU(执行的顺序依次是本地、地址、域、OU层次的GPO),用户可以在这个链上的许多层次上定义GPO。我们以pilot域为例说明如何察看一个系统中的GPO,启动“活动目录用户和计算机MMC”工具,右击pilot域名,从菜单中选择“属性”项,然后选择组策略标签。在这个列表顶端的GPO(例如域范围的安全策略)有最高的优先权,因此,Win2K最后才会执行它。除了本地系统外,可以在每个层次上定义几个GPO,因此如果不能严格地管理GPO,就会出现不必要的问题。
GPO的继承模型与Novell公司的Zenworks策略方式截然不同。在Zenworks中,如果在Novell目录服务(NDS)树上的不同点使用多个策略包,只有距离用户对象最近的策略包才起作用。在Win2K中,如果在AD的不同层次上定义四个GPO,操作系统使用“LSDOU”优先顺序来执行这些策略,对计算机或用户的作用是这四个策略执行的“和”。此外,有时在一个GPO中的设置会被其他GPO中的设置抵销。通过AD级GPO,用户可以拥有更多的策略控制委托,例如,公司的安全部门负责在域一级上设计用于所有系统设备的安全GPO。通过使用GPO,可以让某个OU的系统管理员拥有在OU上安装软件的权利。在Zenworks模型中,必须在希望使用策略的所有层次上复制这些策略,而且策略对用户或计算机对象的作用并非是所有策略的“和”。
为了进一步地控制GPO,微软提供了三种设置来限制GPO继承的复杂性。在地址、域、OU三个层次上用户都可以通过选择一个检查框阻止从更高一个层次上进行继承,同样,在每一个层次上,用户可以选择缺省的域策略选项,方法是打开“活动目录用户和计算机”插件,右击GPO所在的域或OU,从菜单中选择“属性”,然后选择“组策略”标签。让你希望修改的项目变亮,然后选择“选项”按钮,可供选择的选项有“不覆盖”或“禁止”。如果选择了“不覆盖”选项,即使选择了不能继承的检查框,该GPO还是会起作用。如果想在任何一个地方执行一个GPO时,这一功能就很有用处。如果一个OU的管理员试图阻止对安全策略的继承,包含安全策略的GPO仍然会被系统执行。“禁止”检查框可以完全禁止一个GPO执行,这一功能在你对一个GPO进行编辑而不想让其他的用户执行它时特别有效。本文:http://www.qqread.com/winnt/j671155106.html
更多内容请看Windows操作系统安装、Windows权限设置、Windows操作系统安全集专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- Windows操作系统安装 (15669篇文章)
- Windows权限设置 (10273篇文章)
- Windows操作系统安全集 (18739篇文章)
- Windows频道 (9846篇文章)
- Windows 2000频道 (667篇文章)
- 组策略 (8篇文章)
- 安全策略 (150篇文章)
- 系统管理 (470篇文章)
- Windows 2003操作系统十四招加速大法 (0次浏览)
- Windows操作系统文件管理的八大技巧 (0次浏览)
- Windows Server 2008网络性能的说明 (0次浏览)
- Windows 2003系统网络负载均衡的实现 (0次浏览)
- Windows 2008系统中安装群集连续复制 (0次浏览)
- 微软Windows Server 2003小企业版存风险 (0次浏览)
- Windows Server 2008安装群集连续复制 (0次浏览)
- 揭示Windows Server 2008的虚拟化 (0次浏览)
- Windows Home Server问题解答 (0次浏览)
- 为家中环境而设计的Windows Home Server (0次浏览)
