组策略处理和优先级.doc

组策略处理和优先级应用于某个用八(或计算机)的组策略对象(GPO)并非全部具有相同的优先级以后应用 的设置可以覆盖以前应用的设置处理设置的顺序本节提供有关用户和计算机组策略设置处理顺序的详细信息有关策略设置处理适合计算机 启动和用八登录框架的位置的信息，请参阅以卞主题启动和背录中的第3步和笫8步组策略设置是按下列顺序进行处理的：1•本地组策略对彖一每台计算机都只有一个在本地存储的组策略对彖对于计算机或用户 策略处理，都会处理该内容2. 站点一接下来要处理任何己经链接到计算机所属站点的GPOo处理的顺序是山管理员 在组策略管理控制台(GPMC)中该站点的“链接的组策略对象”选项卡内指定的琏接顺 序”最低的GPO最后处理，因此具有最高的优先级3. 域一多个域链接GPO的处理顺序是由管理员在GPMC中该域的“链接的纽策略对 象”选项卡内指定的链接顺序”最低的GPO最后处理，因此具有最高的优先级4. 组织单位一链接到Active Directory层次结构中最高层组织单位的GPO最先处理，然 后是链接到其子组织单位的GPO,依此类推最后处理的是链接到包含该用户或计算机的 组织单位的GPOo在Active Directory层次结构的每一级组织单位中，可以链接-个、多个或不链接GPOo 如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC中该组织单位 的“链接的组策略对彖”选项卡内指定。

链接顺序”最低的GPO最后处理，因此具冇最 高的优先级该顺序意味着首先会处理木地GPO,最后处理链接到计算机或用户直接所属的组织单位的 GPO,它会覆盖以前GPO中与Z冲突的设置如果不存在冲突，则只是将以前的设置和 以后的设置进行结合) 返回页面顶部返回页面顶部 设置默认处理顺序的例外设置的默认处理顺序受下列例外情况的彩响：• GPO链接可以“强制”，也可以“禁用”，或者同时设置两者默认情况下，GPO链接 既不强制也不禁用• GPO可以禁用其用户设置、禁用其计算机设置，也可以禁用所有设置默认悄况下， GPO上的用户设置和计算机设置都不禁用• 组织单位或域町以设置成“阻止继承”默认情况下，不设置成“阻止继承”有关默认行为的上述修改的信息，请参阅管理纽策略继承• 作为工作组成员的计算机仅处理本地组策略对象• 可以启用环回有关环I叫的信息，请参阅在合并或替换时启用环回处理启动和背录下而的序列显示了计算机启动和用户登录时计算机策略和用户策略的应用顺序：1•网络启动远程过程调用系统服务(RPCSS)和多重通用命名约定提供程序(MUP)启动 (Windows XP Professional 是该规则的一个例外。

默认情况卜，在 Windows XP Professional 中组策略处理不会等待网络启动该默认行为可通过策略设置进行更改)2. 获取用于该计算机的GPO顺序列表该列表可能取决于下列因索：• 计算机是否丿成于域，并因此通过Active Directory受组策略的控制• 计算机在Active Directory中的位置• 组策略对象列表是否已经更改如果GPO列表没有更改，则不进行任何处理可以使 用策略设置更改该行为• 管理员设置的任何强制/阻止管理员可以将策略设置为一个总是会应用的更高级别， 这个过程称为强制，以前称为禁止替代另外，管理员还可以设置一个容器来阻止更高 级别的任何策略的应用注意：管理员设置为强制的更高级别的策略将继续应用，即使 设宜了以上级别的阻止也是如此3. 计算机策略得以应用这些都是收集的列表中“计算机恥置”下的设置GPO是按照下 列顺序应用的：本地、站点、域、组织单位、子组织单位等在处理计算机策略吋，不出现 任何通知可以通过策略打开详细日志记录，以显示处理计算机策略的通知有关在应用用户或计算机策略时处理设置的顺序的详细信息，请参阅木主题中的处理设置的 顺序4. 启动脚本运行。

默认情况下这是隐藏而月•是同步进行的；每个脚木在下一个脚本开始执行 之前要么必须完成，耍么做超时处理默认的超时时间为600秒对以使川儿个策略设置 更改该行为注意• 任何版本的Windows XP Professional都提供了 “快速-登录优化”功能默认情况下， 使川这些操作系统的计算机在引导时不会等待网络启动登录之后，一口网络可用，策 略将立即在后台进行处理这就意味着在登录和启动吋，计算机将继续使用以而的策略 设置因此，对于只能在引导或登录时应用的设置(如软件安装和文件夹重定向)，用 户可以在对GPO进行初始更改之后为多次登录请求这样的设置该策略由“计算机配 置\管理模板\系统\一登录\计算机启动或登录时总是等待网络”中的设置控制该功能在 Windows 2000 或 Windows Server 2003 版本中不町用1•用户按Ctrl-Alt-Del登录2. 用户通过验证后，加载用户配置文件；这是山当前生效的策略设置控制的3. 获取用于该用户的GPO顺序列表该列表可能取决于下列因索：• 用户是否属于域，并因此通过Active Directory受组策略的控制• 是否启用了环回，以及环回策略设置的状态（“合并”还是“替换”）。

• 用户在Active Directory中的位置• 管理员设置的任何强制/阻止管理员可以将策略设置为一个总是会应用的更高级别， 这个过程称为强制，以前称为禁止替代另外，管理员还可以设置一个容器來阻止更高 级别的任何策略的应用注意：管理员设置为强制的更高级别的策略将继续应用，即使 设置了以上级别的阻止也是如此4. 用户策略已被应用这些都是收集的列表中“用户配置”下的设置GPO是按照下列顺 序处理的：木地、站点、域、组织单位、了组织单位等在处理用户策略时，不出现任何通 知可以通过策略打开通知有关在应用用户或计算机策略时处理设置的顺序的详细信息，请参阅本主题中的处理设登的 顺序5. 登录脚本运行与Windows NT4.0脚木不同，基于组策略的登录脚本在默认情况下是隐 藏并且界步运行的最后，在常规窗口中运行用八对象脚本还有一个背录超时脚本6. 出现由纽•策略预定义的操作系统用户界面要点• 在迁移过程中有三种特殊情况值得考虑：• 如果计算机帐户对彖在Windows NT 4.0域中而用户帐户对彖在Active Directory中， 则用户登录时仅处理用于计算机（而非用户）的系统策略然示再处理用户（而非计算 机）组策略。

• 如果计算机帐户对象在Active Directory中而用户帐户对象在Windows NT4.0域中， 则计算机启动时处理计算机（而非用户）组策略用户登录时，处理用户（而非计算机） 系统策略• 如果计算机的计算机帐户和用户帐户都是Windows NT4.0域的成员，那么用户登录时 只应用计算机和用户的系统策略（而非组策略）注意• 可以修改这些事件中的部分事件可以将策略设置为：• 将运行脚本的同步或异步默认值进行反向设置• 指定脚木的超时时间默认情况下脚本超时时间为600秒• 更改脚木运行方式：隐藏、最小化或正常窗口。