由于这几天在搞域控的一些设置,涉及到了组策略的问题,竟然是已经好多概念都模糊了,故整理记录一下,方便日后查询。
配置新的安全策略后,原则上在工作站或服务器上,每90分钟更新一次安全性设置,而在域控制器则5分钟更新一次;初此之外,在没有任何更改的情况下,这些安全设置每16小时会更新一次。如果我们想要强迫更新,就需要 命令gpupdate。
用法:gpupdate “/target:{computer| user}” “/force” “/wait:value” “/logoff” “/boot”
参数说明:
/target:{computer| user : 只针对计算机设置或目前用户设置做更新,默认值是两者的设置都重新整理。
/force :省略所有最佳化以及重新套用所有设置的进程动作。
/wait:value :等待完成策略处理的秒数时间,默认是600秒,0代表不等待,而-1代表无限等待。
/logoff :当安全性设置更新完成后登出系统。这是针对那些组策略客户端的扩充,它是在用户登陆时做处理,例如:用户组策略软件安装以及文件夹重新导向,而不是在背景更新周期中作处理。然而,这个选项在不需要用户登出时,是无法发挥作用的。
/boot : 当安全性设置重新整理后,计算机会重新启动。
/?:显示指令的使用说明档。
GPO组策略 权限处理之原则:
一.继承性。子容器继承父容器的配置。
二.子容器配置了策略,则优先父容器。
三.组策略累加性。
GPO冲突处理原则
一.处理顺序在后的GPO优先。 处理顺序是 站点—域—OU
二.先处理计算机配置,再处理用户配置,二者有冲突,以计算机配置优先。
三.多个GPO在同一个OU 配置将累加,如果相互有冲突,排前的优先。
四.本地计算机配置优先权最低,站点。域。OU配置优先。
GPO的例外配置
一.阻止策略继承。组策略属性页面 左小钩选上。
二.强制策略继承。组策略属性页面—>选项à阻止替代 钩上。(不管你是否阻止了组策略的继承都会应用组策略)
三.过滤组策略。在某个OU上OU里的用户排除某个用户,组策略属性页面à属性à安全à添加某人à钩选 读取和应用组策略 为拒绝。