配置用户组策略环回处理模式-阿里云开发者社区

配置用户组策略环回处理模式

默认情况下，域用户帐户在活动目录中的位置决定了该用户登录时应用哪些组策略中的用户设置。

如图6-87所示，在ess.com域上连接两个组策略Default Domain Policy ①和用户桌面管理组策略②。培训部的用户韩立刚和计算机eduPC1位于“培训部”组织单元，在培训部组织单元连接一个组策略eduGPO ③。市场部的用户张辉和计算机marketPC1位于“市场部”组织单元，在市场部组织单元连接有marketGPO组策略。

下面就讨论培训部用户韩立刚在市场部计算机marketPC 1登录应用组策略哪些组策略和应用组策略的顺序。

默认培训部用户“韩立刚”在市场部的计算机“marketPC1”上登录时应用组策略顺序为②①③组策略的“用户配置”。

图 6-87 默认域用户登录应用的组策略

对于具有特殊用途的计算机，包括在公共场所、实验室和教室中使用的计算机，你有可能有这样的需求：无论那个部门的用户登录这些计算机，IE首页必须是www.baidu.com，而忽略用户帐户所在的组织单元上的组策略对用户IE首页设置。

这就需要你配置用户组策略环回处理模式。用户组策略环回处理模式有两种“替换”和“合并”。

“替换”表示用这台计算机的组策略对象中定义的用户设置替换通常情况下应用于用户的用户设置。

如图6-88所示，将市场部的计算机“用户组策略环回处理模式”设置成“替换”，则培训部的用户韩立刚在市场部的计算机marketPC1登录，应用组策略为②①④的用户配置。

值得强调的是：“用户组策略环回处理模式”是在市场部的组策略marketGPO的计算机配置设置的，这就意味着，市场部的计算机在启动时就确定了“用户组策略环回处理模式”，也就确定了域用户登录市场部计算机应用哪些组策略。

图 6-88 替换模式

“合并”表示将在这台计算机的组策略对象中定义的用户设置与通常情况下应用于用户的用户设置组合在一起。如果设置相冲突，则计算机的组策略对象中的用户设置优先于用户的通常设置。

如图6-89所示，如果市场部的组策略marketGPO将计算机的“用户组策略环回模式”设置成“合并”，则培训部的用户韩立刚登录市场部计算机时应用的组策略为②①③④的用户配置，如果有冲突后应用的组策略覆盖先应用的组策略。

图 6-89 合并模式

注意: 只有当计算机帐户和用户帐户都位于 Windows 2000或Windows 2003或Windows 2008 域中时，此设置才是有效的。

6.4.1示例：配置市场部计算机用户组策略环回处理模式为“替换”

如图6-90所示，在ess.com域上连接两个组策略Default Domain Policy ①和用户桌面管理组策略②。培训部的用户韩立刚和计算机eduPC1位于“培训部”组织单元，在培训部组织单元连接一个组策略eduGPO ③。市场部的用户张辉和计算机marketPC1位于“市场部”组织单元，在市场部组织单元连接有marketGPO组策略。

组策略EduGPO将用户的IE主页设置为www.baidu.com，同时禁止用户能够运行计算器程序calc.exe。组策略marketGPO将用户的IE主页设置为www.google.com。

图 6-90 组策略设置

本示例将会见证将市场部计算机的“用户组策略环回处理模式”设置为“替换”前后，培训部用户韩立刚登录市场部计算机marketPC1后IE主页的变化，以及计算器calc.exe软件能否运行。

任务：

u 更改组策略eduGPO设置将用户IE主页设置为www.baidu.com

u 更改组策略eduGPO设置禁止用户运行calc.exe程序。

u 更改组策略marketGPO设置将用户IE主页设置为www.google.com

u 培训部用户韩立刚登录市场部计算机marketPC1验证默认用户登录组策略的应用

u 更改marketGPO将市场部计算机的“用户组策略环回处理模式”设置为“替换”

u 培训部用户韩立刚登录市场部计算机marketPC1验证默认用户登录组策略的应用

步骤：

1. 在DCServer上，打开Active Directory用户和计算机管理工具。组织单元以及组织单元中的用户和计算机如图6-91所示。

2. 如图6-92所示，打开组策略编辑工具，右击培训部组织单元下的eduGPO，点击“编辑”。

图 6-91 组织单元结构图 6-92 编辑培训部组策略

3. 如图6-93所示，在用户配置下，右击“重要URL”，点击“属性”。

4. 如图6-94所示，在出现的重要URL对话框，选中“自定义主页”，输入主页http://www.baidu.com，点击“确定”。

图 6-93 设置重要URL 图 6-94 指定主页

5. 如图6-95所示，双击“不要运行指定的Windows 应用程序”。

6. 如图6-96所示，在出现的不要运行指定的Windows应用程序属性对话框，选择“已启用”，点击“显示”。

图 6-95 不要运行指定的Windows程序图 6-96 启用设置

7. 如图6-97所示，在出现的显示内容对话框，点击“添加”。在出现的添加项目对话框，输入calc.exe点击“确定”。关闭组策略编辑。

8. 如图6-98所示，右击市场部组织单元下marketGPO，点击“编辑”。

图 6-97 添加项目图 6-98 编辑市场部组策略

9. 如图6-99所示，在出现的组策略编辑对话框，点中用户配置下的“重要URL”，点击“属性”。

10. 如图6-100所示，在出现的重要URL对话框，选中“自定义主页URL”，输入主页http://www.googl.com，点击“确定”。

图 6-99 编辑重要URL 图 6-100 输入主页

11. 如图6-101所示，培训部用户韩立刚登录市场部计算机。

12. 如图6-102所示，可以看到IE的主页为http://www.baidu.com。应用了培训部组策略eduGPO组策略的用户设置。

图 6-101 登录图 6-102 验证用户应用的组策略

13. 如图6-103所示，并且计算器软件被禁用。说明用户登录时要以用户帐户在域中位置确定的应用那些组策略。

14. 如图6-104所示，在DCServer上，打开组策略管理工具，右击市场部组织单元下的marketGPO，点击“编辑”。

图 6-103 验证用户应用的组策略图 6-104 编辑市场部组策略

15. 如图6-105所示，在打开的组策略管理编辑器对话框，在计算机配置下，上级“用户组策略环回模式”。

16. 如图6-106所示，在出现的用户组策略环回处理模式属性对话框，选择“已启用”，模式选择“替换”。

图 6-105 编辑计算机配置图 6-106 设置用户组策略环回模式

17. 如图6-107所示，在marketPC1上，运行gpupdate /force 强制刷新组策略。

18. 如图6-108所示，以培训部用户韩立刚登录市场部计算机marketPC1.

图 6-107 刷新组策略图 6-108 登录

19. 如图6-109所示，打开Internet属性，可以看到主页成为了市场部组织单元上组策略对用户首页的设置。

20. 如图6-110所示，点击运行计算器软件能够打开。这就说明将计算机的用户组策略环回处理模式设置为“替换”，将不再根据用户帐户所在组织单元应用组策略。

图 6-109 验证替换模式图 6-110 验证替换模式

6.4.2示例：配置市场部计算机用户组策略环回处理模式为“合并”

如图6-111所示，在ess.com域上连接两个组策略Default Domain Policy ①和用户桌面管理组策略②。培训部的用户韩立刚和计算机eduPC1位于“培训部”组织单元，在培训部组织单元连接一个组策略eduGPO ③。市场部的用户张辉和计算机marketPC1位于“市场部”组织单元，在市场部组织单元连接有marketGPO组策略。

组策略EduGPO将用户的IE主页设置为www.baidu.com，同时禁止用户能够运行计算器程序。组策略marketGPO将用户的IE主页设置为www.google.com。