组策略设置主要包括：用户计算机环境（如开始菜单、桌面快捷项、控制面板选项、可用程序等）、计算机和用户的本地或者网络访问权利，以及其他安全控制策略（如组策略中的各种安全选项、IP安全策略等）。可用组策略定义用户和计算机组的配置，如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及IE的维护指定策略设置。创建的组策略设置包含在组策略对象（GPO）中，通过将GPO与所选的Active Directory系统容器——站点、域和组织单位相关联，实现组策略设置的具体应用。还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。

组策略可基于活动目录中的用户和计算机帐户两种对象分别予以配置，所以在GPO中的组策略设置项中包括“计算机配置”和“用户配置”两大部分（如图10-1所示），这就是组策略的基本结构。而且我们可以看到，在这两大部分中，有许多设置项是相同的，如都有“软件设置”、“Windows设置”和“管理模板”等这几部分，而且在这些部分中，又有许多相同的子设置选项。我们知道，“计算机配置”是针对计算机对象而言的，“用户配置”是针对用户对象而言的，而用户配置又是通过计算机来应用的，这就存在一个可能两者的相同选项设置不一致，有冲突的问题，这时又该应用哪个设置呢？根据组策略规定，当两者的配置有冲突时，最终以计算机策略为依据。

图10-1 组策略编辑器中的两部分策略设置项

组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何其他Windows 2000计算机。组策略对象（GPO）的创建的最大容器是域，最小容器是组织单位（OU），当然可以为各级OU创建不同的GPO。不能为特定的计算机或者用户创建单独的GPO。应用于域（即在域级别应用，刚好在“Active Directory用户和计算机”（ADUC）控制台的根目录之上）的组策略（也就是“域组策略”）会影响域中的所有计算机（包括域控制器）和用户。默认的域组策略是Default Domain Policy 。ADUC还提供内置的“Domain Controllers”（域控制器）组织单位（域控制器是域网络中最大的组织单位），默认使用的组策略对象是“Default Domain Controllers Policy”。域控制器组策略应用于域网络中的所有域控制器，将域控制器策略与其他计算机策略分开管理。

组策略设置存储在组策略对象（GPO）中，可以使用组策略对象编辑器（gpedit.msc）来编辑每个GPO的设置。在安装组策略管理控制台（GPMC）后，通常从GPMC中打开组策略对象编辑器的，而不是像以前从ADUC中打开。GPMC.msc可以在微软的官网: 上下载，有中文简体的，而且是自带GPMC SP1的。

安装了GPMC后原来在ADUC中的“组策略”选项卡就不能用了，如图1-2所示。此时组策略的编辑只能从GPMC控制台进行了，可以通过单击图10-2中的“打开”按钮，或者执行【开始】→【管理工具】→【组策略管理】菜单操作打开，如图10-3所示。

图10-2 安装了GPMC后的域属性对话框“组策略”选项卡 

图10-3  GPMC控制台

1. GPO类型

在Windows系统组策略中有两种类型的GPO：

l         基于Active Directory的GPO

基于Active Directory的GPO就是指在域网络中应用的组策略对象（GPO）。这些GPO存储在某个域中，并且复制到该域的所有域控制器上。它们仅在Active Directory（活动目录）环境中可用，可应用于GPO所链接的站点、域或部门中的用户和计算机。但要注意的是，组策略对象只能在域（包括各级子域）和组织单位（包括各级组织单位）上创建，不能在站点上创建，站点只能链接现在的域或者组织单位GPO。

【经验之谈】Active Directory中的站点代表网络的物理结构，或称拓扑结构，基本上是与子网对应的，但一个站点也可以包含多个子网。在Active Directory中，站点是通过高速网络（如局域网）有效连接的一组计算机。同一站点内的所有计算机通常放在同一建筑内，或在同一校园网络上，如分支构网络。在一个站点中必须有自己的域控制器，而且必须与子网链接。

站点和域不同：站点代表网络的物理结构，而域代表单位网络的逻辑结构。站点与域之间没有一个绝对的关系，因为一个域中可以有一个或者多个站点，而一个站点中又可以包括一个或者多个域。如一个集团公司包括各个地方的多个子公司，而它们各自配置成不同的子网，之间是通过专线高速连接的，而且集团总部和各子公司网络组成一个域网络，这时这个总的集团公司域网络中就可以包括了多个站点了，这些站点就可以是集团总部、以及各子公司。另一种情况是，一个大的公司，在同一个子网中部署了同一个域网络，但根据部门划分了不同的子域。这就是一个站点包括了多个域的情况了。

可将基于Active Directory的GPO链接到域、站点或部门以应用其设置。

同一个GPO可以链接到多个站点、域或组织单位。一个站点、域或组织单位又可以链接多个GPO，实现不同策略的设置。如果在链接的多个GPO中发生设置冲突，可通过链接顺序来设置使用的优先级，默认常是按以下顺序应用设置的：本地→站点→域→组织单位。

l         本地GPO

本地GPO是仅应用于本地计算机和本地用户帐户的GPO。每个计算机上只存储一个本地GPO。运行Windows 2000、Windows XP Professional、Windows XP6 4-Bit Edition或Windows Server 2003操作系统的每台计算机都只有一个本地组策略对象。在这些对象中，组策略设置存储在各个计算机上，无论它们是否属于Active Directory环境或网络环境的一部分。本地组策略对象包含的设置要少于非本地组策略对象的设置，尤其是在“安全设置”下。本地组策略对象不支持“文件夹重定向”和“组策略软件安装”。本地组策略对象驻留在Systemroot\System32\GroupPolicy中。运行Windows NT 4.0或更低版本的计算机没有本地组策略对象，而且它们不能识别非本地的组策略对象。

本地GPO是Active Directory环境中影响力最小的GPO，因为基于Active Directory的GPO优先级更高。本地GPO包含的设置仅为基于Active Directory的GPO中找到的设置的一个子集。因为它的设置可以被与站点、域和组织单位相关联的组策略对象覆盖，所以在Active Directory环境中本地组策略对象的影响力最小。在非网络环境中（或在没有域控制器的网络环境中），本地组策略对象的设置相当重要，因为此时它们不会被其他组策略对象覆盖。

2. GPO优先级

如果多个GPO试图将某个设置设定为有冲突的值，则由具有最高优先级的GPO设定该设置。GPO处理基于最后写入者获胜模型(Last Writer Wins Model)，之后处理的GPO比之前处理的GPO的优先级高。不同GPO中的组策略设置是按下列顺序处理的：本地GPO（LGPO）→站点GPO→域GPO→组织单位GPO（域控制器是最大的组织单位）→子组织单位GPO。对于嵌套的组织单位，先处理与父组织单位关联的GPO，然后再处理与子组织单位关联的GPO。

此顺序意味着，先处理本地GPO，最后处理链接到计算机或用户直接所属的部门的GPO；如果最后的GPO 设置与先前的GPO设置有冲突，则它覆盖先前GPO中的设置；如果没有冲突，则合并先前和后面的设置即可。?

基于链接顺序，按相反的顺序应用指向特定站点、域或部门的链接。例如，具有链接顺序1的GPO比链接到该容器的其他GPO的优先级都高。

（1）本地GPO：每台计算机都只有一个在本地存储的组策略对象。它可用于本地计算机和用户的组策略处理，它最先被应用，但在域网络环境中，可能最终是应用最少GPO设置的GPO。

（2）站点GPO：是指已链接到计算机所属站点的任何GPO。如果一个站点中链接了多个站点GPO，则处理顺序是由管理员在GPMC中站点的“链接的组策略对象”选项卡（如图10-4所示）上指定的。具有最低“链接顺序”的GPO是被最后处理的，因此具有最高的优先级。

（3）域GPO：多个链接到域上的GPO的处理顺序是由管理员在GPMC中该域的“链接的组策略对象”选项卡上指定的（如图10-4类似）。具有最低“链接顺序”的GPO是被最后处理的，因此具有最高的优先级。

图10-4 站点GPO中的“链接顺序”

（4）组织单位GPO：最先处理链接到Active Directory层次结构中最高层部门的GPO，然后处理链接到其子部门的GPO，依此类推。最后处理的是链接到包含组策略要应用的用户或计算机的部门的GPO。

在Active Directory层次结构的每个部门级别中，可以链接一个、多个或不链接GPO。如果几个GPO链接到一个部门上，则它们的处理顺序是由管理员在GPMC中该部门的“链接的组策略对象”选项卡上指定的。具有最低“链接顺序”的GPO是被最后处理的，因此具有最高的优先级。

以上顺序意味着，先处理本地GPO，最后处理链接到计算机或用户直接所属的部门的GPO。如果后面的GPO设置与先前的GPO设置有冲突，则它覆盖先前GPO中的设置；如果没有冲突，则合并先前和后面的设置。

但以上默认的设置处理顺序会受下列例外情况的影响：

l         GPO链接可以是“强制”或“已禁用”，或者两者都是。默认情况下，GPO链接既不是“强制”也不是“已禁用”。

l         GPO可以禁用其用户设置、其计算机设置或所有设置。默认情况下，在GPO上既不禁用用户设置，也不禁用计算机设置。

l         部门或域可以设置“阻止继承”。默认情况下，不设置“阻止继承”。

l         作为工作组网络成员的计算机仅处理本地组策略对象。

本文摘自《金牌网管师——中小型企业网络组建、配置与管理)》第七章