组策略环回处理
概要
组策略以某种方式应用于用户或计算机,而这种方式取决于用户和计算机对象位于 Active Directory 中的什么位置。 但在某些情况下,用户可能需要仅根据计算机对象的位置来应用策略。 要想仅根据用户登录到哪个计算机来应用组策略对象 (GPO),可以使用组策略环回功能。
更多信息
要设置每台计算机的用户配置:
- 在“组策略”Microsoft 管理控制台 (MMC) 中,单击计算机配置。
- 找到管理模板,然后单击系统,再单击组策略,然后启用环回策略选项。
该策略将指示系统把该计算机的 GPO 集合应用于登录到受该策略影响的计算机的所有用户。 该策略特别适用于特殊用途的计算机,在这些地方,必须根据使用的计算机来修改用户策略,例如,位于公共场合、实验室和教室中的计算机。
备注: 只有纯粹基于 Windows 2000 的环境下才支持环回功能。 计算机帐户和用户帐户都必须位于 Active Directory 中。 如果其中某个帐户是由 Microsoft Windows NT 4.0 域控制器管理的,那么,环回将无效。 客户端计算机必须是 Windows 2000 计算机。
当用户在自己的工作站上工作时,可能希望根据用户对象的位置来应用组策略设置。 因此,建议您以用户帐户所在的组织单元 (OU) 为单位来配置策略设置。 但是,有可能出现这样的情况:计算机对象驻留在指定的 OU 中,而且根据计算机对象而不是用户对象来应用策略中的用户设置。
根据正常的组策略处理过程的指定,OU 中的计算机是在计算机启动期间按顺序来应用 GPO 的。 而 OU 中的用户则是在登录期间按顺序来应用 GPO 的,这与他们登录的是哪个计算机无关。
某些情况下,该处理顺序可能是不合适的,例如,一些应用程序已被指派或发布给在某些 OU 中的用户,但当他们登录到在某个特定 OU 中的计算机时,您并不想让这些应用程序安装在该计算机上。 使用组策略环回支持功能,可以指定采用其它方式来为这个特定 OU 中的计算机的任何用户检索出针对他们的 GPO 列表,这些方式包括:
- 合并模式
在该模式中,当用户登录时,将通过使用 GetGPOList 函数正常收集用户的 GPO 列表。 然后,再次调用 GetGPOList 函数,在这次调用中使用计算机在 Active Directory 中的位置。 然后,计算机的 GPO 列表被添加到用户 GPO 的末尾。 这将导致计算机的 GPO 具有比用户的 GPO 更高的优先权。 在该例中,计算机的 GPO 列表被添加到了用户的列表中。 - 替代模式
在该模式中,不收集用户的 GPO 列表。 只使用基于计算机对象的 GPO 列表。
上次更新时间:2018年9月4日
来源:CSDN
作者:allway2
链接:https://blog.csdn.net/allway2/article/details/104101120