如何區分計算機策略

餘二五發表於2017-11-24
計算機
計算機的策略大體上分為四類,分別是本地策略,域策略,站點策略以及OU策略。其中本地策略是每臺計算機都有的,而後三者只有在域環境下才有。他們的優先順序順序從低到高分別為:local policy(本地)->site policy(站點)->domain policy(域)->ou policy(組織單元)。

 

當一臺計算機處於工作組模式,它只會執行本地安全策略;當它處於域模式,則至少要執行本地安全策略和域安全策略;而當它處於域模式且為DCDomain Controller),則至少要執行本地安全策略、域安全策略和域控制器安全策略三個策略。由於處於域模式的計算機要執行多條策略,為了保證策略相互之間不衝突,必須採取相應的措施。預設情況下,當多條策略之間不產生衝突的時候,多條策略之間是合併關係,即同時生效執行;但當產生衝突的時候,優先順序高的策略會替代優先順序低的策略。

 

為了儘量避免組策略之間的衝突,或者達到管理員組策略集中設定控制的目的,我們首先需要了解各個策略自身作用的範圍(假定計算機處於域模式)。本地策略,即作用於本地計算機的策略,當域策略沒有定義時執行該策略。域安全策略,即整個域的策略。域控制器安全策略,它屬於OU策略的一種,只作用在Domain Controller這個組織單元(OU)上,即Domain Controller的組策略”Default Domain Controller Policy”。換言之,修改域控制器安全策略和修改Domain Controller組織單元中的”Default Domain Controller Policy”效果是一樣的。除此之外,域控制器安全策略不與域安全策略衝突。而當本地策略與域安全策略衝突時,執行的是域安全策略。

 

下面我們通過一個簡單的例子加以說明。假設域模式中,本地策略中帳戶的密碼長度最小值為8個字元,域安全策略中帳戶的密碼長度最小值為10個字元,而域控制器安全策略中帳戶的密碼長度最小值為12個字元。那麼域中的所有計算機的密碼長度最小值為10個字元,在本地通過執行gpedit,msc呼叫組策略控制檯,檢視相應的數值已改為10個字元,並且不允許本地修改此數值(顯示為灰色鎖定狀態);而域控制器安全策略中沒有改變,仍為12個字元。

 

最後,關於管理員如何有效地使用計算機策略達到相關管理目標,提以下幾點:

1、   域模式中,如果要集中統一定製組策略,則在域安全策略中設定即可。

2、   域模式中,如果要針對不同使用者進行組策略管理,則先劃分不同的OU,然後設定相應OU的組策略即可。

3、   域模式中,如果不想對計算機進行組策略管理,則將域安全策略和域控制器安全策略設定為“沒有定義”即可。

4、   工作組模式中,只能通過本地管理員進行單臺組策略設定。
本文轉自 intelboy 51CTO部落格,原文連結:http://blog.51cto.com/intelboy/11178,如需轉載請自行聯絡原作者


相關文章