超级会员免费看
组策略对象(GPO)的变更、配置与管理全解析
1. GPO 命名与管理基础
在管理组策略对象(GPO)时,使用如“GPO_”这样的前缀来命名 GPO 并没有太大的额外价值。因为从本质上我们就能识别出它是 GPO,不会将其与 Active Directory 中的用户、计算机、组等对象混淆。不过,在组命名规范中使用“GPO_”前缀是有必要的,这样可以明确特定组的用途是管理 GPO 的作用范围。
2. 配置新 GPO 时避免其过早应用
GPO 由两部分组成:
- 组策略容器(GPC) :它是 Active Directory 中的一个对象,从主域控制器(PDC)操作主机(所有新 GPO 的默认创建地)通过标准的 Active Directory 复制机制复制到其他域控制器。GPC 定义了 GPO 的基本属性,包括全局唯一标识符(GUID)、名称以及访问控制列表(ACL),该列表决定了谁可以读取 GPO、GPO 应用于哪些对象以及谁可以更改 GPO 的设置。
- 组策略模板(GPT) :存储在域控制器的 SYSVOL 中。与 GPC 一样,GPT 也从 PDC 操作主机开始复制到其他域控制器,但使用的是与 GPC 完全不同的复制机制(文件复制服务或 DFS 复制)。
由于 GPO 的这两部分使用不同的复制机制,可能会出现问题。例如,客户端可能在 Active Directory 中检测到新的 GPO 并尝试下载 GPT,但发现 GPT 尚未完全复制到域控制器的 SYSVOL 中。更糟糕的是,在更改 GPO 设置的过程中,部分配置的 GPT 可能会被复制,导致系统只应用
订阅专栏 解锁全文
扫一扫
63
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
