組策略是一個能夠讓系統管理員充分控制和管理用戶工作環境的功能。通過它來確保用戶擁有受控制的工作環境，也通過它來限制用戶，如此不但可以讓用戶擁有適當的環境，也可以減輕系統管理員的管理負擔。[1]

讓管理員充分管理用戶工作環境。組策略包括計算機配置和用戶配置兩個部分。其中計算機配置對計算機全局環境產生影響，用戶配置對用戶環境產生影響。

Q：如果同一條組策略的計算機配置與用戶配置應用沖突，計算機會怎么么處理？

A：如果有沖突,系統會以禁用優先，也就是說計算機配置或用戶配置只要有禁用選項就會以該選項優先。

組策略分為基于本地的組策略和基于AD（活動目錄）的域組策略。

（1）基于本地的組策略

本地是指單一的計算機。用于設置本計算機的策略，策略只會應用于本計算機。本地策略中的計算機配置會被應用到這臺計算機，用戶配置會被應用到在這臺計算機登錄的所有用戶。

（1）在DNS1上，使用【win + r】快捷鍵，打開【運行】對話框，輸入命令：gpedit.msc。

（2）基于域的組策略

在AD域中可以針對計算機、域或者組織單位來設置策略。其中域的組策略中的設置會被應用到域內所有的計算機和用戶。而組織單位的組策略會被應用到該組織單位內的所有計算機和用戶。

對于加入域的計算機來說，如果本地組策略的設置與域或組織單位的組策略設置發生沖突，以域或組織單位的組策略的設置優先。也就是此時本地組策略的設置是無效的。

（1）在DNS1上，使用【win + r】快捷鍵，打開【運行】對話框，輸入命令：gpmc.msc。

活動目錄中有兩個內置的組策略對象：Default Domain Controllers Policy 和 Default Domain Policy。

【Default Domain Policy】默認已經被鏈接到域 fjnu.local，其設置將會被應用到整個域內的所有用戶域計算機中。【Default Domain Controllers Policy】默認已經被鏈接到組織單位Domain Controllers，其設置會被應用到所有域控制器上。

創建新的組策略

（1）在域的【組策略對象】上點擊鼠標右鍵，在彈出的菜單中選擇【新建】。

（2）在彈出的【新建GPO】中輸入新建的組策略名稱：testGPO，點擊【確認】，即可創建一個名為testGPO的組策略對象。

（3）在【testGPO】上點擊鼠標右鍵，選擇【編輯】，即可對該組策略進行編輯。

（4）該組策略對象包括計算機配置與用戶配置兩大部分。與本地策略相比，【軟件設置】、【Windows設置】、【管理模板】被組織到【策略】下，新增了【首選項】部分。【首選項】包括【Windows設置】和【控制面板設置】。

【策略】是強制性，用戶無法更改。【首選項】是非強制性，客戶端可以自行更改設置值。

如果策略和首選項對相同的選項設置了不同的值，以策略設置優先。

（5）將組策略testGPO應用到組織單位fjnu_user中。在【fjnu_user】上點擊鼠標右鍵，選擇【鏈接現有GPO】。

（6）在打開的【選擇GPO】界面中，選擇剛才創建并編輯的組策略 testGPO，點擊【確認】，即可將testGPO應用到 fjnu_user 上。

以后對組策略 testGPO 的所有設置，均將作用于 fjnu_user 內的所有計算機和用戶上，不會對其他計算機和用戶有影響。

參考資料

[1]戴有煒，《2016 Windows Server 系統配置指南》，清華出版社，2018

Microsoft Docs：Active Directory documentation

Microsoft Docs：Active Directory Domain Services

到此這篇關于Windows Server 2019 組策略的配置與管理 理論基礎的文章就介紹到這了,更多相關win2019 組策略理論基礎內容請搜索好吧啦網以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持好吧啦網！