windows域應(yīng)用案例

1、系列文章鏈接如下：（點(diǎn)擊名字即可進(jìn)入）企業(yè)部署Windows域?qū)嶒?yàn)案例企業(yè)域控DC管理案例企業(yè)Windows域環(huán)境中的組策略應(yīng)用案例一企業(yè)Windows域環(huán)境中的組策略應(yīng)用案例二前言：工作組網(wǎng)絡(luò)模型只適合小型網(wǎng)絡(luò)，如果企業(yè)網(wǎng)絡(luò)中計(jì)算機(jī)和用戶賬戶數(shù)量較多時(shí)，我們可以通過(guò)使用Windows域，對(duì)網(wǎng)絡(luò)資源進(jìn)行集中管理，提高工作效率。本篇博文通過(guò)兩個(gè)案例的實(shí)施，介紹了創(chuàng)建Windows域并將計(jì)算機(jī)加入域，在域環(huán)境下如何對(duì)賬戶、組以及OU進(jìn)行管理等。在小型網(wǎng)絡(luò)中，管理員通常單獨(dú)管理每一臺(tái)計(jì)算機(jī)，每臺(tái)計(jì)算機(jī)都是一個(gè)獨(dú)立的管理單元。例如，在每臺(tái)計(jì)算機(jī)中都需要為訪問(wèn)它的用戶創(chuàng)建用戶賬戶。但當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)大到一定

2、程度后，如超過(guò)10臺(tái)計(jì)算機(jī)，每臺(tái)計(jì)算機(jī)需要有10個(gè)用戶訪問(wèn)，那么管理員就要?jiǎng)?chuàng)建100個(gè)以上的用戶帳戶，相同的工作就要重復(fù)很多遍。雖然可以將用戶需要訪問(wèn)的資源集中到某臺(tái)服務(wù)器，但在實(shí)際中，并不是所有資源都可以很方便的集中在服務(wù)器上。此時(shí)可以將網(wǎng)絡(luò)中的計(jì)算機(jī)邏輯上組織到一起，將其視為一個(gè)整體，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做Windows域，域是組織與存儲(chǔ)資源的核心管理單元。-案例環(huán)境一： 安裝活動(dòng)目錄某公司有100多臺(tái)計(jì)算機(jī)和100多名員工，現(xiàn)在需要集中管理計(jì)算機(jī)、用戶賬戶以及其他網(wǎng)絡(luò)資源。需要建立Windows Server 2008域，域名為。案例描述：1）在服務(wù)器DC01上安裝

3、活動(dòng)目錄，域名為“” 2）將客戶機(jī)加入域 3）創(chuàng)建域用戶賬戶案例實(shí)施：1）檢查DC01是否滿足安裝活動(dòng)目錄的條件。 一臺(tái)計(jì)算機(jī)要安裝成DC，必須具備以下幾個(gè)條件： 1.安裝者必須具有本地管理員權(quán)限。 2.操作系統(tǒng)版本必須滿足條件（Windows Server系列）。 3.本地磁盤至少有一個(gè)分區(qū)是NTFS文件系統(tǒng)。 4.配置靜態(tài)的IP地址和子網(wǎng)掩碼。 5.有足夠的可用磁盤空間。2）在DC01上安裝活動(dòng)目錄。 1.使用如下命令配置IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS等TCP/IP參數(shù)，并使用ipconfig

4、/all查看配置參數(shù)。（我習(xí)慣使用命令，大家可以使用圖形界面配置）   2.使用管理員賬戶（Administrator）登錄后，運(yùn)行dcpromo命令，打開“Active Directory 域服務(wù)安裝向?qū)А?，如下圖所示：  3.閱讀操作系統(tǒng)兼容性說(shuō)明，單擊下一步按鈕。  4.在“選擇某一部署配置”頁(yè)面中，選擇“在新林中新建域”單選按鈕，如下圖所示。  5.在“命名林根域”頁(yè)面中輸入域名（本案例為），如下圖所示。  6.在“設(shè)置林功能級(jí)別”頁(yè)面中選擇林功能級(jí)別為“Windows Ser

5、ver 2008”，如下圖所示。  7.在”其他域控制器選項(xiàng)“頁(yè)面中選擇”DNS服務(wù)器“。  8.在”數(shù)據(jù)庫(kù)、日志文件和SYSVOL的位置“頁(yè)面中，接受默認(rèn)的位置，單擊”下一步“按鈕。（在實(shí)際環(huán)境中最好將這些文件存放到三個(gè)不同的卷上，這樣可以獲得更好的性能，提高備份和還原的效率）  9.在”目錄服務(wù)還原模式的Administrator密碼“頁(yè)面中，輸入并確認(rèn)一個(gè)強(qiáng)密碼，單擊”下一步“按鈕，如下圖所示。（請(qǐng)牢記此密碼，在還原時(shí)需要使用，無(wú)須與正常模式下Administrator賬戶的登錄密碼一樣）  10.在”摘要“

6、頁(yè)面中，檢查所有的選擇，如果有某一項(xiàng)不正確，可以單擊”上一步“按鈕返回進(jìn)行修改。如果沒有問(wèn)題，單擊”下一步“，如下圖所示。  11.開始安裝和配置活動(dòng)目錄服務(wù)，如下圖所示。（可勾選”完成后重新啟動(dòng)（R）”） 3）創(chuàng)建域用戶賬戶dongjun。 創(chuàng)建域用戶賬戶的步驟如下： 1.單擊“開始”-“程序”-“管理工具”-“Active Directory 用戶和計(jì)算機(jī)”，打開“Active Directory用戶和計(jì)算機(jī)“窗口，然后右鍵單擊”Users“，選擇“新建”-“用戶”命令，在“新建對(duì)象-用戶”對(duì)話框中輸入用戶姓名等相關(guān)信息，如下圖。 

7、;   2.輸入并確認(rèn)用戶密碼，如下圖所示。   4）將客戶機(jī)Windows7加入域。 一臺(tái)計(jì)算機(jī)要加入域，必須滿足一下兩個(gè)條件： （1）確保該計(jì)算機(jī)和域控制器互相連通。 （2）配置正確的DNS地址（在本案例中，DNS服務(wù)器即域控制器，所以DNS服務(wù)器的地址為域控制器的IP地址）。 1.配置首選DNS地址為DC01的IP地址，確保計(jì)算機(jī)和域控制器互相連通。   2.將該計(jì)算機(jī)加入域。（具體步驟如圖所示）   5）驗(yàn)證結(jié)果。使用用戶don

8、gjun從客戶機(jī)Windows7可以登錄到域。  -案例環(huán)境二：  域的基本管理某公司有五個(gè)部門：行政部、人事部、工程部、銷售部和財(cái)務(wù)部。網(wǎng)絡(luò)管理員需要按部門管理用戶賬戶，并且用戶賬戶在第一次登錄域時(shí)需要更改密碼。案例描述：1）在服務(wù)器DC01上分別創(chuàng)建行政部、人事部、工程部、銷售部和財(cái)務(wù)部的OU。 2）在各部門OU中創(chuàng)建用戶帳戶，將已創(chuàng)建用戶帳戶（dongjun）移動(dòng)到所屬OU中。 3）修改已存在用戶（dongjun）的屬性，選中“用戶下次登錄時(shí)需更改密碼”選項(xiàng)，以保證用戶密碼的安全性。案例實(shí)施：1）在服務(wù)器DC01上新建五個(gè)OU，名稱分別為

9、 行政部、人事部、工程部、銷售部、財(cái)務(wù)部。 打開“Active Directory用戶和計(jì)算機(jī)”窗口，右擊域名“”，在彈出的快捷菜單中，選擇“新建”-“組織單位”命令，輸入組織單位名稱，如下圖所示，單擊“確定”按鈕。  2）分別在每個(gè)OU中創(chuàng)建多個(gè)用戶賬戶，在創(chuàng)建賬戶的時(shí)候，選中“用戶下次登錄時(shí)需更改密碼”選項(xiàng)。  3）將用戶賬戶dongjun移動(dòng)到“銷售部”O(jiān)U中。  4）修改用戶賬戶dongjun的屬性，選中“用戶下次登錄時(shí)須更改密碼”選項(xiàng)。 5）驗(yàn)證結(jié)果。使用其中一個(gè)新建用戶賬戶和dongjun登錄到域，會(huì)提

10、示用戶修改密碼。 本文出自 “迷你兔” 博客，請(qǐng)務(wù)必保留此出處前言：在上一篇博文“企業(yè)部署Windows域?qū)嶒?yàn)案例”中，我搭建了一個(gè)Windows域，了解了使用域可以為工作帶來(lái)很多方便。在一個(gè)域中，至少要有一臺(tái)域控制器，也可以添加多臺(tái)域控制器，這樣有助于提供容錯(cuò)，平衡負(fù)載，提高域服務(wù)的可用性和可靠性。本篇博文通過(guò)兩個(gè)案例的實(shí)施，介紹域控制器的管理、額外域控制器的作用以及如何添加或卸載域控制器。-Windows域簡(jiǎn)介：所謂域，就是由網(wǎng)絡(luò)管理員定義的一組計(jì)算機(jī)的集合，實(shí)際上就是一個(gè)網(wǎng)絡(luò)。通過(guò)使用域，可以將網(wǎng)絡(luò)中的多臺(tái)計(jì)算機(jī)在邏輯上組織到一起，對(duì)網(wǎng)絡(luò)資源進(jìn)行集中管理，讓用戶可以更便捷的去訪

11、問(wèn)網(wǎng)絡(luò)資源，從而大大降低網(wǎng)絡(luò)管理成本。在域中，至少要有一臺(tái)域控制器。域控制器中保存著整個(gè)域的用戶帳號(hào)、組、計(jì)算機(jī)、共享文件夾等活動(dòng)目錄對(duì)象的相關(guān)數(shù)據(jù)，管理員可以通過(guò)修改轟動(dòng)美麗數(shù)據(jù)庫(kù)的配置，實(shí)現(xiàn)對(duì)整個(gè)域的管理和控制。在規(guī)劃域結(jié)構(gòu)時(shí)，應(yīng)該從單域開始，這是最容易的域結(jié)構(gòu)，只有單域模式不能滿足要求時(shí)，才考慮增加其他的域。當(dāng)網(wǎng)絡(luò)中包含多個(gè)域時(shí)，就會(huì)構(gòu)成域樹和域林。安裝域控制器：通過(guò)在一臺(tái)計(jì)算機(jī)上安裝活動(dòng)目錄，就會(huì)將這臺(tái)計(jì)算機(jī)安裝成域控制器。具體步驟請(qǐng)參考我的上一篇博文：“企業(yè)部署Windows域?qū)嶒?yàn)案例”額外域控制器：如果域中只有一臺(tái)域控制器，一旦出現(xiàn)軟件或物理故障，就以為著公司的業(yè)務(wù)將出現(xiàn)停滯。添加

12、額外域控制器，指的是在域中添加第二臺(tái)甚至更多的域控制器，每臺(tái)域控制器都擁有一個(gè)Active Directory數(shù)據(jù)庫(kù)。如果一臺(tái)域控制器出現(xiàn)故障，只要域內(nèi)其他域控制器有一個(gè)是正常的，就可以繼續(xù)為用戶登錄或訪問(wèn)網(wǎng)絡(luò)資源等提供正常服務(wù)。 額外域控制器的幾點(diǎn)好處： （1）提供容錯(cuò)功能： 即使其中一臺(tái)域控制器出現(xiàn)故障，仍可以由其他域控制器繼續(xù)提供域服務(wù)，從而使整個(gè)網(wǎng)絡(luò)保持正常運(yùn)行。讓用戶可以正常登錄，并提供用戶身份驗(yàn)證。 （2）提供負(fù)載均衡： 因?yàn)槎嗯_(tái)域控制器可以同時(shí)分擔(dān)用戶審核工作，因此可以加快用戶審核速度。當(dāng)網(wǎng)絡(luò)內(nèi)的用戶數(shù)量較多，或者多種網(wǎng)絡(luò)服務(wù)都需

13、要身份認(rèn)證時(shí)，應(yīng)當(dāng)安裝多臺(tái)域控制器。 （3）更易于用戶的鏈接和訪問(wèn)： 在分支機(jī)構(gòu)用戶登錄到域網(wǎng)絡(luò)時(shí)，如果都必須由總部的域控制器進(jìn)行身份驗(yàn)證的話，分支機(jī)構(gòu)和總部之間的網(wǎng)絡(luò)連接速度低，則驗(yàn)證的過(guò)程可能非常長(zhǎng)。而如果在分支機(jī)構(gòu)配置額外域控制器，分支機(jī)構(gòu)網(wǎng)絡(luò)用戶就可以直接通過(guò)額外域控制器進(jìn)行域網(wǎng)絡(luò)登錄，效率將大大提高。-案例環(huán)境一：安裝額外域控制器公司搭建了Windows Server 2008域 。域中現(xiàn)在有一臺(tái)域控制器DC01，DC01上由用戶賬戶dongjun和計(jì)算機(jī)賬戶Windows7。為了加強(qiáng)域的可用性，現(xiàn)在需要安裝第2臺(tái)域控制器DC02，該如何實(shí)現(xiàn)。案例描述：1）在域中

14、添加額外域控制器DC02. 2）為客戶機(jī)Windows7添加第2個(gè)DNS地址，使在DC01宕機(jī)的時(shí)候用戶可以正常登錄域。案例實(shí)施：1）準(zhǔn)備好域控制器DC01，服務(wù)器DC02和已加入域的客戶機(jī)Windows7。 1.DC02的IP地址為192.168.100.100/24。 2.Windows7的IP地址為192.168.100.10，DNS地址為192.168.100.100，已加入域。 具體步驟請(qǐng)參考我的上一篇博文：“企業(yè)部署Windows域?qū)嶒?yàn)案例”2）將計(jì)算機(jī)DC02加入到域中。 1.配置DC02的IP地址為192.168.100.200

15、，DNS地址為192.168.100.100。  2.在DC02上運(yùn)行Active Directory域服務(wù)安裝向?qū)?，將其加入域?#160;（與安裝第一臺(tái)域控制器類似，這里列出大致步驟）       3.更改DC02的第1個(gè)DNS地址為192.168.100.200，第2個(gè)DNS地址為192.168.100.100。 3）在DC01上打開“網(wǎng)絡(luò)連接”，將網(wǎng)卡禁用（模擬DC01宕機(jī)的情況）。  4）在客戶機(jī)Windows7上添加第2個(gè)DNS地址192.168.100.200。

16、 5）驗(yàn)證結(jié)果，重新啟動(dòng)客戶機(jī)Windows7，使用用戶賬戶dongjun還是可以登錄到域。   -案例環(huán)境二：卸載域控制器公司搭建了Windows Server 2008域 ，域中有兩臺(tái)域控制器DC01和DC02，現(xiàn)在DC02要改做其他用途，不再擔(dān)任域控制器的角色，需要將DC02卸載。案例描述：在DC02上卸載活動(dòng)目錄，使其成為一臺(tái)普通成員服務(wù)器。案例實(shí)施：1）準(zhǔn)備好域控制器DC01、DC02和已加入域的客戶機(jī)Windows7。2）在DC02上卸載Active Directory。 1.使用域管理員賬戶登錄到DC02。  

17、2.在DC02上運(yùn)行Active Directory域服務(wù)安裝向?qū)В瑢⑵湫遁d。     3）在客戶機(jī)Windows7上刪除第2個(gè)DNS地址。 本文出自 “迷你兔” 博客，請(qǐng)務(wù)必保留此出處前言：通過(guò)在每一臺(tái)客戶機(jī)上配置本地安全策略，可以加強(qiáng)工作組中計(jì)算機(jī)的安全性。在域環(huán)境中，如果要對(duì)多臺(tái)客戶機(jī)進(jìn)行同樣的安全設(shè)置，是否需要在每一臺(tái)計(jì)算機(jī)是上單獨(dú)配置呢？答案是否定的，可以通過(guò)組策略對(duì)多臺(tái)客戶機(jī)進(jìn)行統(tǒng)一配置。本篇博文通過(guò)兩個(gè)案例的實(shí)施，介紹組策略的作用，如何創(chuàng)建組策略，組策略的應(yīng)用順序，配置組策略的繼承、阻止繼承、強(qiáng)制生效和篩選等功能，最后介

18、紹通過(guò)組策略完成軟件的分發(fā)。-本案例緊接著“企業(yè)部署Windows域?qū)嶒?yàn)案例”“企業(yè)域控DC管理案例”進(jìn)行實(shí)施。-組策略簡(jiǎn)介：組策略是管理員為計(jì)算機(jī)和用戶定義的，用來(lái)控制應(yīng)用程序、系統(tǒng)設(shè)置和管理模板的一種機(jī)制。通俗來(lái)說(shuō)，它是介于控制面板和注冊(cè)表之間的一種修改系統(tǒng)、設(shè)置程序的工具。利用組策略可以修改Windows系統(tǒng)的桌面、開始菜單、IE瀏覽器以及其他組件等許多設(shè)置。通過(guò)在域中實(shí)施組策略，管理員可以很方便的管理 Active Directory 中的所有用戶和計(jì)算機(jī)的工作環(huán)境，如用戶桌面環(huán)境，計(jì)算機(jī)啟動(dòng)/關(guān)機(jī)與用戶登錄/注銷時(shí)執(zhí)行的腳本文件、軟件安裝、安全設(shè)置等，大大提高了管理員管理和控制用戶和

19、計(jì)算機(jī)的能力。使用組策略帶來(lái)的幾點(diǎn)好處：1）減少管理成本，因?yàn)橹恍柙O(shè)置一次，相應(yīng)的用戶或計(jì)算機(jī)即可全部應(yīng)用規(guī)定的設(shè)置。 2）減少用戶單獨(dú)配置錯(cuò)誤的可能。 3）可以針對(duì)特定對(duì)象（用戶和計(jì)算機(jī)）實(shí)施特定策略。-案例環(huán)境一： 組策略應(yīng)用某公司網(wǎng)絡(luò)采用Windows Server 2008域環(huán)境進(jìn)行管理，各部門員工用戶賬戶都位于各自部門的OU中，OU“銷售部”中包含員工用戶賬戶UserA、UserB，OU“財(cái)務(wù)部”中包含用戶賬戶UserC，OU“人事部”中包含用戶UserD，默認(rèn)OU“computer”中包含客戶機(jī)Windows7?，F(xiàn)在公司要求銷售部員工應(yīng)用統(tǒng)一的桌面背景，不能隨意

20、更改，其他各部門員工可以自定義其桌面背景。案例描述：1）在OU“銷售部”下新建GPO“wallpaper_sales”。 2）對(duì)GPO“wallpaper_sales”進(jìn)行設(shè)置，為銷售部員工設(shè)置統(tǒng)一桌面。預(yù)備知識(shí)：組策略的所有配置信息都存放在GPO（Group Policy Object，組策略對(duì)象）中，組策略被視為Active Directory中的一種特殊對(duì)象，可以將GPO和活動(dòng)目錄的容器（站點(diǎn)、域和OU）連接起來(lái)，以影響容器中的用戶和計(jì)算機(jī)。組策略是通過(guò)組策略對(duì)象來(lái)進(jìn)行管理的。默認(rèn)組策略： 當(dāng)Windows Server 2008 域創(chuàng)建完成時(shí)，默認(rèn)有兩個(gè)GPO。一個(gè)

21、是Default Domain Policy（默認(rèn)域策略），另一個(gè)是Default Domain Controller Policy（默認(rèn)域控制器策略），查看這兩個(gè)GPO的方法：在“開始”-“管理工具”中打開“組策略管理”控制臺(tái)（或者在“開始”-“運(yùn)行”中輸入gpmc.msc打開“組策略管理”控制臺(tái)）。展開左側(cè)窗口中的各個(gè)節(jié)點(diǎn)，找到“組策略對(duì)象”，打開后就可以看到這兩個(gè)默認(rèn)的GPO，如下圖所示：  GPO鏈接： GPO用來(lái)保存組策略，必須進(jìn)一步指定GPO所鏈接的對(duì)象才能將組策略應(yīng)用到指定對(duì)象。GPO只能鏈接至Active Directory的站點(diǎn)、域或組織單位。此

22、站點(diǎn)、域和組織單位，統(tǒng)稱為SDOU（Site、Domain、Organizational Unit），即為活動(dòng)目錄的容器，容器中包含的用戶和計(jì)算機(jī)這兩種活動(dòng)目錄對(duì)象會(huì)受到組策略的控制。 單擊組策略對(duì)象中的“Default Domain Controllers Policy”，在右側(cè)窗口中可以看到該GPO已經(jīng)鏈接到了組織單位“Domain Controllers”，如下圖所示：  單擊組策略對(duì)象的“Default Domain Policy”，在右側(cè)窗口中可以看到該GPO已經(jīng)鏈接到了域（此處為)。如下圖所示： 組策略中包含計(jì)算機(jī)和用戶配置。計(jì)算機(jī)配置對(duì)容器

23、中的計(jì)算機(jī)起作用，用戶配置則對(duì)容器中的用戶起作用。案例實(shí)施：1）準(zhǔn)備域控制器和客戶機(jī)。 1.正確配置各主機(jī)的網(wǎng)絡(luò)參數(shù)，確保從客戶端能正確登錄。 （具體步驟請(qǐng)參考我的前兩篇博文：1.“企業(yè)部署Windows域?qū)嶒?yàn)案例”2.“企業(yè)域控DC管理案例”） 2.準(zhǔn)備一張圖片“wallpaper_sales.jpg”,充當(dāng)統(tǒng)一的桌面背景。 （自戀一下，拿張自己的照片，哈哈）  3.將上面的圖片放置在域控制器DC01的共享文件夾wallpaper中，域用戶對(duì)該文件夾擁有讀取權(quán)限。 共享權(quán)限+NTFS權(quán)限設(shè)置即可2）在OU“銷售部”上新建GPO并對(duì)其

24、編輯。 1.在OU“銷售部”上新建GPO，名為“wallpaper_sales”。     2.編輯GPO“wallpaper_sales”，設(shè)置應(yīng)用墻紙“wallpaper_sales.jpg”。         3）驗(yàn)證結(jié)果。 1.使用用戶賬戶UserA或UserB登錄域，應(yīng)用的是統(tǒng)一的桌面背景。（使用Windows的桌面?zhèn)€性化是修改不鳥桌面的）  2.使用用戶帳戶UserC或UserC登錄域，應(yīng)用的是自定義桌面

25、背景。    通過(guò)個(gè)性化可以任意更改桌面。如果組策略未生效，可以分別在域控制器和客戶機(jī)上運(yùn)行“gpupdate /force”命令刷新組策略。 案例環(huán)境二：組策略的應(yīng)用規(guī)則 企業(yè)Windows域環(huán)境中的組策略應(yīng)用案例二前言：組策略的影響方位非常廣泛，域內(nèi)所有的用戶和計(jì)算機(jī)都可能會(huì)受到約束，因此，應(yīng)用組策略之前應(yīng)明確組策略的各種應(yīng)用規(guī)則，如組策略的繼承與阻止、累加與沖突和強(qiáng)制生效等，以方便利用這些規(guī)則順利的實(shí)現(xiàn)用戶的需求。上一篇博文：企業(yè)Windows域環(huán)境中的組策略應(yīng)用案例一 ：在上一篇博文中我通過(guò)一個(gè)案例“創(chuàng)建組策略”詳細(xì)

26、介紹了什么是組策略、組策略的作用、如何創(chuàng)建組策略等。本篇博文是上篇博文的延續(xù)，通過(guò)案例二，來(lái)介紹組策略的應(yīng)用順序、配置組策略的繼承、阻止繼承、強(qiáng)制生效和篩選等功能，最后介紹通過(guò)組策略完成軟件的分發(fā)。-本案例緊接著“企業(yè)部署Windows域?qū)嶒?yàn)案例”“企業(yè)域控DC管理案例”進(jìn)行實(shí)施。-組策略的繼承與阻止：在默認(rèn)情況下，下層容器會(huì)繼承來(lái)自上層容器的GPO。如下圖所示，OU“銷售部”會(huì)繼承域“”的組策略；子OU“銷售部_北京”和“銷售部_上?！睍?huì)繼承其上級(jí)OU“銷售部”的組策略。  子容器也可以阻止繼承上層容器的組策略。在上圖中，若OU“銷售部_北京”不需要應(yīng)用來(lái)自上級(jí)OU的組策

27、略，可以右擊“銷售部_北京”，在其彈出菜單中選擇“阻止繼承”，如下圖所示，這樣OU“銷售部_北京”就不會(huì)應(yīng)用任何組策略。  組策略的累加與沖突：如果容器的多個(gè)組策略設(shè)置不沖突，則最終的有效策略是所有組策略設(shè)置的累加。如果容器的多個(gè)組策略設(shè)置沖突（對(duì)相同項(xiàng)目進(jìn)行了不同設(shè)置），組策略則按以下順序被應(yīng)用：LSDOU。它表示 本地（Local）、站點(diǎn)（Site）、域（Domain）、組織單位（Organizational Unit）。默認(rèn)情況下，當(dāng)策略設(shè)置發(fā)生沖突時(shí)，后應(yīng)用的策略將覆蓋前面的策略。每臺(tái)運(yùn)行Windows版本系統(tǒng)的計(jì)算機(jī)都只有一個(gè)本地組策略對(duì)象。如果計(jì)算機(jī)在工作組環(huán)境

28、下，將會(huì)應(yīng)用本地組策略對(duì)象。如果計(jì)算機(jī)加入域，則除了受到本地組策略的影響，還可能受到站點(diǎn)、域和OU組策略對(duì)象的影響。如果策略之間發(fā)生沖突。則后應(yīng)用的策略其作用。總之：組策略按如下順序應(yīng)用。1）首先應(yīng)用本地組策略對(duì)象。 2）如果有站點(diǎn)組策略對(duì)象，則應(yīng)用。 3）然后應(yīng)用域組策略對(duì)象。 4）如果計(jì)算機(jī)或用戶屬于某個(gè)OU，則應(yīng)用OU上的組策略對(duì)象。 5）如果計(jì)算機(jī)或用戶屬于某個(gè)OU的子OU，則應(yīng)用子OU上組策略對(duì)象。 6）如果同一個(gè)容器下鏈接了多個(gè)組策略對(duì)象，則鏈接順序最低的組策略對(duì)象最后處理，因此它具有最高的優(yōu)先級(jí)。組策略的強(qiáng)制生效：根據(jù)上面的介紹，

29、下級(jí)容器可以對(duì)上級(jí)容器的GPO采用阻止繼承的操作，或者下級(jí)容器設(shè)置一個(gè)與上級(jí)容器相對(duì)沖突的GPO，從而使上級(jí)容器的GPO不能生效。如何使上級(jí)容器的GPO強(qiáng)制生效呢？如下圖步驟所示：可以實(shí)現(xiàn)強(qiáng)制下級(jí)生效上級(jí)的某個(gè)GPO  “強(qiáng)制生效”會(huì)覆蓋“阻止繼承”設(shè)置，這也成為網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理的一種方法。篩選：上面介紹的GPO都應(yīng)用于容器下的所有用戶和計(jì)算機(jī)。但實(shí)際環(huán)境中會(huì)有這樣的需求：例如銷售部的所有普通用戶都受GPO約束，而銷售部經(jīng)理的賬戶不受此約束，這個(gè)功能要依靠篩選來(lái)實(shí)現(xiàn)。篩選可以實(shí)現(xiàn)阻止一個(gè)GPO應(yīng)用于容器內(nèi)部特定用戶和計(jì)算機(jī)。容器中的用戶和計(jì)算機(jī)之所以受GPO的影

30、響，是因?yàn)樗麄儗?duì)GPO擁有讀取和應(yīng)用組策略的權(quán)限。如果用戶或計(jì)算機(jī)賬戶沒有讀取和應(yīng)用組策略的權(quán)限，組策略將拒絕執(zhí)行。軟件分發(fā)：網(wǎng)絡(luò)管理員在布置域中軟件時(shí)，常常需要在很多太計(jì)算機(jī)上對(duì)同一軟件進(jìn)行安裝或卸載。如果在每臺(tái)計(jì)算機(jī)上重復(fù)這些操作，工作量大而且容易出錯(cuò)，有沒有一種能減少工作量的方法呢？利用GPO設(shè)置軟件分發(fā)策略，可以實(shí)現(xiàn)對(duì)容器下所有用戶和計(jì)算機(jī)的軟件管理。有效提升軟件部署效率。 利用GPO給容器下的計(jì)算機(jī)或者用戶分發(fā)軟件，需要經(jīng)過(guò)以下幾個(gè)步驟：1）獲取Windows安裝程序包文件；該程序包含一個(gè) .msi 文件已經(jīng)必要的相關(guān)的安裝文件。 2）將安裝程序包文件存放到一個(gè)軟件分發(fā)點(diǎn)。軟件分發(fā)點(diǎn)是服務(wù)器上的一個(gè)共享文件夾，用戶都有訪問(wèn)權(quán)限。 3）創(chuàng)建或修改GPO，該GPO包含軟件分發(fā)的內(nèi)容。-案例環(huán)境二：  組策略的應(yīng)用規(guī)則某公司網(wǎng)絡(luò)采用Windows Server 2008 域環(huán)境進(jìn)行管理，各部門員工用戶賬戶都位于各自部門的OU中，OU“銷售部”中包含普通員工用戶帳戶UserA、UserB和部門經(jīng)理用戶賬戶ManagerA，OU“財(cái)務(wù)部”中包含用戶賬戶“UserC， OU“人事部”中包含用戶UserD，默認(rèn)OU“computer”中包含客戶機(jī)W