20、深入了解组策略：策略与首选项的区别及应用

深入了解组策略：策略与首选项的区别及应用

1. 策略与首选项的区别

1.1 策略

策略分为托管策略和非托管策略。托管策略通常表现得像“绅士”，一旦设置，就会强制生效，用户无法更改。当组策略对象（GPO）不再适用时，大多数内置的策略设置会自动从计算机中移除。这是因为组策略会监控Windows注册表的四个特殊部分，并在刷新周期中重新处理这些部分。所有影响这些注册表区域的GPO设置都具备自我移除的能力。然而，非托管策略设置，即使是“策略”文件夹下列出的一些设置，在GPO取消链接时可能无法移除其设置，这取决于具体的设置以及它在客户端计算机上所做的更改。

1.2 首选项

与策略不同，首选项通常可以由用户逆转。首选项是一种为用户配置设置的好方法，能让用户的生活更轻松，但你需要接受用户可能会手动更改这些设置的事实。当GPO不再适用于计算机时，首选项不会自动移除。这是因为组策略首选项并不存在于前面提到的注册表特殊部分，所以Windows不会主动重新扫描这些设置以确定它们是否应继续应用。若要将首选项设置恢复为默认值，用户要么自己调整，要么你需要推送一个新的GPO来完成调整。

以下是策略和首选项的区别对比表格：
| 类别 | 是否可由用户逆转 | GPO不再适用时是否自动移除 | 适用场景 |
| ---- | ---- | ---- | ---- |
| 策略 | 否 | 是（大多数内置设置） | 需要强制实施的设置 |
| 首选项 | 是 | 否 | 可由用户灵活调整的设置 |

2. 默认域策略

默认域策略是与域根链接的GPO，每个环境都有一个，除非管理员手动删除（