如何区分计算机策略
2006-12-01 14:49
232 查看
计算机的策略大体上分为四类,分别是本地策略,域策略,站点策略以及OU策略。其中本地策略是每台计算机都有的,而后三者只有在域环境下才有。他们的优先级顺序从低到高分别为:local policy(本地)->site policy(站点)->domain policy(域)->ou policy(组织单元)。 当一台计算机处于工作组模式,它只会执行本地安全策略;当它处于域模式,则至少要执行本地安全策略和域安全策略;而当它处于域模式且为DC(Domain Controller),则至少要执行本地安全策略、域安全策略和域控制器安全策略三个策略。由于处于域模式的计算机要执行多条策略,为了保证策略相互之间不冲突,必须采取相应的措施。默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是合并关系,即同时生效执行;但当产生冲突的时候,优先级高的策略会替代优先级低的策略。 为了尽量避免组策略之间的冲突,或者达到管理员组策略集中设定控制的目的,我们首先需要了解各个策略自身作用的范围(假定计算机处于域模式)。本地策略,即作用于本地计算机的策略,当域策略没有定义时执行该策略。域安全策略,即整个域的策略。域控制器安全策略,它属于OU策略的一种,只作用在Domain Controller这个组织单元(OU)上,即Domain Controller的组策略”Default Domain Controller Policy”。换言之,修改域控制器安全策略和修改Domain Controller组织单元中的”Default Domain Controller Policy”效果是一样的。除此之外,域控制器安全策略不与域安全策略冲突。而当本地策略与域安全策略冲突时,执行的是域安全策略。 下面我们通过一个简单的例子加以说明。假设域模式中,本地策略中帐户的密码长度最小值为8个字符,域安全策略中帐户的密码长度最小值为10个字符,而域控制器安全策略中帐户的密码长度最小值为12个字符。那么域中的所有计算机的密码长度最小值为10个字符,在本地通过运行gpedit,msc调用组策略控制台,查看相应的数值已改为10个字符,并且不允许本地修改此数值(显示为灰色锁定状态);而域控制器安全策略中没有改变,仍为12个字符。 最后,关于管理员如何有效地使用计算机策略达到相关管理目标,提以下几点:1、 域模式中,如果要集中统一定制组策略,则在域安全策略中设定即可。2、 域模式中,如果要针对不同用户进行组策略管理,则先划分不同的OU,然后设定相应OU的组策略即可。3、 域模式中,如果不想对计算机进行组策略管理,则将域安全策略和域控制器安全策略设定为“没有定义”即可。4、 工作组模式中,只能通过本地管理员进行单台组策略设定。
相关文章推荐
- 计算机CPU指令的32位、64位是如何区分呢?
- 计算机是如何区分读到的内存是指令还是数据
- 组策略 从入门到精通(二) 如何区别跨越WAN网的计算机对组策略的套用 推荐
- 计算机如何区分存储器中的指令和数据
- 技术QA:如何实现服务器或计算机OU上GPO代替用户OU上GPO的用户策略? 推荐
- 验证码技术如何区分人类和计算机
- 组策略 从入门到精通(二) 如何区别跨越WAN网的计算机对组策略的套用
- 我和朋友谈论计算机是如何区分指令和数据的经历
- 计算机是如何启动的?(转载)
- 计算机如何表示小数
- 计算机是如何工作的(最简单透彻的解释)
- 如何区分分布式/集群/并行文件系统?
- 计算机是如何启动的?
- 如何成为杰出工程师-九个工作策略《转》
- 如何处理更改计算机名称导致oracle无法启动
- 如何区分一个.lib文件是静态库还是动态库导出的文件
- 如何学习计算机图形学
- 如何在局域网内盗取别的用户计算机里的数据!
- css hack 如何区分 ie7 ie8