前言:
组策略的影响范围非常广泛,域内所有的用户和计算机都可能会受到约束,因此,应用组策略之前应明确组策略的各种应用规则,如组策略的继承与阻止、累加与冲突和强制生效等,以方便利用这些规则顺利的实现用户的需求。
上一篇博文:企业Windows域环境中的组策略应用案例一 :http://minitoo.blog.51cto.com/4201040/839500
在上一篇博文中我通过一个案例“创建组策略”详细介绍了什么是组策略、组策略的作用、如何创建组策略等。本篇博文是上篇博文的延续,通过案例二,来介绍组策略的应用顺序、配置组策略的继承、阻止继承、强制生效和筛选等功能,最后介绍通过组策略完成软件的分发。
-----------------------------------------------------------------
本案例紧接着“企业部署Windows域实验案例”“企业域控DC管理案例”进行实施。
-----------------------------------------------------------------
组策略的继承与阻止:
在默认情况下,下层容器会继承来自上层容器的GPO。如下图所示,OU“销售部”会继承域“yye1.com”的组策略;子OU“销售部_北京”和“销售部_上海”会继承其上级OU“销售部”的组策略。 
子容器也可以阻止继承上层容器的组策略。在上图中,若OU“销售部_北京”不需要应用来自上级OU的组策略,可以右击“销售部_北京”,在其弹出菜单中选择“阻止继承”,如下图所示,这样OU“销售部_北京”就不会应用任何组策略。 
组策略的累加与冲突:
如果容器的多个组策略设置不冲突,则最终的有效策略是所有组策略设置的累加。
如果容器的多个组策略设置冲突(对相同项目进行了不同设置),组策略则按以下顺序被应用:LSDOU。它表示 本地(Local)、站点(Site)、域(Domain)、组织单位(Organizational Unit)。默认情况下,当策略设置发生冲突时,后应用的策略将覆盖前面的策略。
每台运行Windows版本系统的计算机都只有一个本地组策略对象。如果计算机在工作组环境下,将会应用本地组策略对象。如果计算机加入域,则除了受到本地组策略的影响,还可能受到站点、域和OU组策略对象的影响。如果策略之间发生冲突。则后应用的策略其作用。
总之:组策略按如下顺序应用。
1)首先应用本地组策略对象。
2)如果有站点组策略对象,则应用。
3)然后应用域组策略对象。
4)如果计算机或用户属于某个OU,则应用OU上的组策略对象。
5)如果计算机或用户属于某个OU的子OU,则应用子OU上组策略对象。
6)如果同一个容器下链接了多个组策略对象,则链接顺序最低的组策略对象最后处理,因此它具有最高的优先级。
组策略的强制生效:
根据上面的介绍,下级容器可以对上级容器的GPO采用阻止继承的操作,或者下级容器设置一个与上级容器相对冲突的GPO,从而使上级容器的GPO不能生效。如何使上级容器的GPO强制生效呢?
如下图步骤所示:可以实现强制下级生效上级的某个GPO 
“强制生效”会覆盖“阻止继承”设置,这也成为网络管理员对网络进行统一管理的一种方法。
筛选:
上面介绍的GPO都应用于容器下的所有用户和计算机。但实际环境中会有这样的需求:例如销售部的所有普通用户都受GPO约束,而销售部经理的账户不受此约束,这个功能要依靠筛选来实现。筛选可以实现阻止一个GPO应用于容器内部特定用户和计算机。
容器中的用户和计算机之所以受GPO的影响,是因为他们对GPO拥有读取和应用组策略的权限。如果用户或计算机账户没有读取和应用组策略的权限,组策略将拒绝执行。
软件分发:
网络管理员在布置域中软件时,常常需要在很多太计算机上对同一软件进行安装或卸载。如果在每台计算机上重复这些操作,工作量大而且容易出错,有没有一种能减少工作量的方法呢?利用GPO设置软件分发策略,可以实现对容器下所有用户和计算机的软件管理。有效提升软件部署效率。
利用GPO给容器下的计算机或者用户分发软件,需要经过以下几个步骤:
1)获取Windows安装程序包文件;该程序包含一个 .msi 文件已经必要的相关的安装文件。
2)将安装程序包文件存放到一个软件分发点。软件分发点是服务器上的一个共享文件夹,用户都有访问权限。
3)创建或修改GPO,该GPO包含软件分发的内容。
------------------------------------------------------------------
案例环境二: 组策略的应用规则
某公司网络采用Windows Server 2008 域环境进行管理,各部门员工用户账户都位于各自部门的OU中,OU“销售部”中包含普通员工用户帐户UserA、UserB和部门经理用户账户ManagerA,OU“财务部”中包含用户账户“UserC, OU“人事部”中包含用户UserD,默认OU“computer”中包含客户机Windows7。现在公司要求全体员工都不能运行命令提示符,除销售部员工要使用统一的桌面背景,销售部员工使用销售部统一的桌面背景,销售部经理可以自定义桌面背景。
案例描述:
1)使用默认域策略禁止所有用户运行命令提示符。
2)使用默认域策略为所有员工设置公司的统一桌面背景。
3)利用组策略的应用顺序原则,在OU“销售部”下新建GPO“wallpaper_sales”,为销售部员工设置统一桌面。
4)使用筛选规则使销售部经理可以自定义桌面背景。
案例实施:
1)准备域控制器和客户机。
1.正确配置各主机的网络参数,确保从客户端能正确登录域yye1.com。
(本案例紧接着“企业部署Windows域实验案例”“企业域控DC管理案例”进行实施,具体步骤请参考)
2.准备两张图片,“wallpaper_company.jpg”充当公司统一的桌面背景;“wallpaper_sales.jpg”充当销售部统一的桌面背景。 
3.将上面的两张图片放置在域控制器DC01的共享文件夹wallpaper中,域用户对该文件夹拥有读取权限。 
(设置相应的共享可NTFS权限即可)
2)编辑默认域策略对其进行配置。
1.编辑默认域策略,启用选项“阻止访问命令提示符”。 
2.编辑默认域策略,设置应用墙纸“wallpaper_company.jpg”。 
3)在OU“销售部”上新建GPO并对其编辑。
1.在OU“销售部”上新建GPO,名为“wallpaper_sales”。 
2.编辑GPO“wallpaper_sales”,设置应用墙纸“wallpaper_sales.jpg”。 
3.对GPO“wallpaper_sales”、委派权限,添加ManagerA的拒绝读取和拒绝应用组策略权限。 
4)验证结果。
1.使用UserA或UserB从客户机Windows7登录域,应用了销售部统一桌面背景,无法运行命令提示符。
2.使用UserC和UserD从客户机Windows7登录域,应用了公司统一桌面背景,无法运行命令提示符。
