Windows [/b]组策略[/b]
Windows组策略,可以分为“用户策略”和“计算机策略”。
用户策略在组策略中的“用户配置 (User Settings)”中设置,在用户登录时(不管从哪台计算机)生效;而“计算机策略”则在组策略中的“计算机配置 (Computer Settings)”中配置,在计算机启动时生效(不管哪个用户登录了这台计算机)。
//在我们平时信息系统审计的过程中,据我理解,通常看的应该是“计算机配置”。
上述两种组策略下又可以细分为“软件管理 (Software Settings)”,“Windows设置 (Windows Setting)”和“管理模版 (Administrative Templates)”。
//在我们平时信息系统审计的过程中,据我理解,通常我们跑的脚本是看计算机配置下的“windows设置”。
当计算机启动时,首先执行组策略中的计算机配置部分,然后执行组策略中设置的启动脚本程序(期间,不会执行组策略中的用户设置部分);用户登录时,首先执行的是组策略中的用户设置,然后执行登陆脚本。
组策略的冲突问题?
多个组策略同时作用于一个活动目录时,最终结果是多个组策略的叠加。如果有冲突的地方,则根据如下的规则处理:
1. 当父容器的组策略和子容器的组策略冲突时,子容器的组策略最终执行并生效。
2. 当多个组策略同时设置在一个活动目录对象上面时,根据组策略配置界面中组策略的排列顺序,排在上面的组策略优先执行。
3. 当用户的组策略和计算机的组策略冲突时,绝大多数情况下是计算机的组策略最终生效,虽然计算机的组策略在用户组策略的前面执行。
4. 当站点 (Site)、域 (Domain)、组织单元 (OU)的组策略冲突时,执行次序是站点、域,最后是组织单元,最后执行的组策略生效。
//在信息系统审计过程中,经常会去看组策略的设置,但是有时候对本地组策略和域的组策略的共存问题,并没有一个定论,依我理解,如果是域环境下是是域安全策略生效,如果是本地用户登录,则是本地安全策略起作用;如果二者的设置发生冲突,非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突,则都可以应用。
附:
上图显示了对作为子 OU 成员的计算机应用 GPO 的顺序。首先从每个 Windows XP 工作站的本地策略应用组策略。应用本地策略后,依次在站点级别和域级别应用任何 GPO。
对于几个 OU 层中嵌套的 Windows XP 客户端,在层次结构中按从最高 OU 级别到最低级别的顺序应用 GPO。从包含客户端计算机的 OU 应用最后的 GPO。此 GPO 处理顺序(本地策略、站点、域、父 OU 和子 OU)非常重要,因为此过程中稍后应用的 GPO 将会替代先前应用的 GPO。用户 GPO 的应用方式相同,唯一区别是用户帐户没有本地安全策略。
近期评论