如何區分計算機政策

計算機的政策大體上分為四類，分别是本地政策，域政策，站點政策以及OU政策。其中本地政策是每台計算機都有的，而後三者隻有在域環境下才有。他們的優先級順序從低到高分别為：local policy（本地）－>site policy（站點）－>domain policy（域）－>ou policy（組織單元）。

當一台計算機處于工作組模式，它隻會執行本地安全政策；當它處于域模式，則至少要執行本地安全政策和域安全政策；而當它處于域模式且為DC（Domain Controller），則至少要執行本地安全政策、域安全政策和域控制器安全政策三個政策。由于處于域模式的計算機要執行多條政策，為了保證政策互相之間不沖突，必須采取相應的措施。預設情況下，當多條政策之間不産生沖突的時候，多條政策之間是合并關系，即同時生效執行；但當産生沖突的時候，優先級高的政策會替代優先級低的政策。

為了盡量避免組政策之間的沖突，或者達到管理者組政策集中設定控制的目的，我們首先需要了解各個政策自身作用的範圍（假定計算機處于域模式）。本地政策，即作用于本地計算機的政策，當域政策沒有定義時執行該政策。域安全政策，即整個域的政策。域控制器安全政策，它屬于OU政策的一種，隻作用在Domain Controller這個組織單元（OU）上，即Domain Controller的組政策”Default Domain Controller Policy”。換言之，修改域控制器安全政策和修改Domain Controller組織單元中的”Default Domain Controller Policy”效果是一樣的。除此之外，域控制器安全政策不與域安全政策沖突。而當本地政策與域安全政策沖突時，執行的是域安全政策。

下面我們通過一個簡單的例子加以說明。假設域模式中，本地政策中帳戶的密碼長度最小值為8個字元，域安全政策中帳戶的密碼長度最小值為10個字元，而域控制器安全政策中帳戶的密碼長度最小值為12個字元。那麼域中的所有計算機的密碼長度最小值為10個字元，在本地通過運作gpedit,msc調用組政策控制台，檢視相應的數值已改為10個字元，并且不允許本地修改此數值（顯示為灰色鎖定狀态）；而域控制器安全政策中沒有改變，仍為12個字元。

最後，關于管理者如何有效地使用計算機政策達到相關管理目标，提以下幾點：

1、   域模式中，如果要集中統一定制組政策，則在域安全政策中設定即可。

2、   域模式中，如果要針對不同使用者進行組政策管理，則先劃分不同的OU，然後設定相應OU的組政策即可。

3、   域模式中，如果不想對計算機進行組政策管理，則将域安全政策和域控制器安全政策設定為“沒有定義”即可。

4、   工作組模式中，隻能通過本地管理者進行單台組政策設定。

本文轉自 intelboy 51CTO部落格，原文連結：http://blog.51cto.com/intelboy/11178，如需轉載請自行聯系原作者