分类: 系统运维
2011-10-19 19:37:16
在同一个域、站点、组织单位中创建或者链接多个GPO时,可以设置它们的应用优先级,也就是链接顺序。但是这里要注意的是,它与不同容器下的多个GPO相同设置相冲突的应用优先级不同,这里的“链接顺序”是指在同一容器下的多个GPO的应用优先级,是根据链接顺序号来决定的。链接顺序号越小,优先级越高,最高的优先级是链接顺序号为1的GPO。
同一个容器下的多链GPO的链接顺序是可以调整的,方法是在图10-4所示GPMC控制台对应GPO容器窗口中选择要调整顺序的GPO,然后单击右边的向上,或者向下箭头进行调整即可。把要优先应用的GPO调整到高的优先级,也就是调整到链接顺序号越小的位置。
至于GPO访问权限委派,其实与NTFS文件访问权限委派是类似的,因为GPO其实也是一个文件。配置的方法的是在GPMC控制台对应GPO容器中选择要配置的GPO,然后在右边窗格中选择“委派”选项卡,如图10-18所示。
图10-18 GPO访问权限委派窗口
一般情况下是无需对GPO访问权限进行重新委派设置的,因为系统默认是所有授权的用户都可以只读方式访问GPO,而各种管理员成员(包括域管理员组和企业管理员组)都具有对GPO的完全控制权限(包括“编辑设置”、“删除”和“修改安全”三大部分)。这对于一般的GPO管理和应用是没有影响的。但如果你要委派某个不是管理员组成员的用户来管理对应的GPO设置,则可以在这里委派了。
GPO访问权限的委派方法很简单,具体步骤如下:
(1)在图10-18所示的“委派”选项卡中单击“添加”按钮,在打开的如图10-19所示对话框中输入要委派GPO访问权限的用户、组或者是系统内置的其他安全帐户。
图10-19 “选择用户、计算机或组”对话框
(2)单击“确定”按钮,打开如图10-20所示对话框。在这里的“权限”下拉列表中要选择为用户、组或者其他系统内置的安全帐户委派的权限(包括“读取”、“编辑设置”、“删除”和“修改安全”这三个选项)。因为每个授权用户都对GPO具有最基本的“读取”权限,所以委派权限时一般不会选择这个权限,而是更高级的“编辑设置”、“删除”和“修改安全”权限项(“修改安全”权限是指修改GPO的“安全筛选”设置,具体将在本章10.2.6节中介绍)。选择了相应权限后,在边的小圆点就会在相应的权限菜单项中显示。
(3)单击“确定”按钮即可完成一个委派任务操作。
要想编辑已在图10-18所示“委派”选项卡“组和用户”列表中的权限选项,只需在相应选项上单击右键,在如图10-21所示的弹出菜单中选择对应的权限项即可。
图10-20 “添加组或用户”对话框
图10-21 编辑GPO访问权限快捷菜单
本文摘自《金牌网管师——中小型企业网络组建、配置与管理)》第十章
