域組策略的實施域組策略的實施11、在域上設置“域組策略”1、在域上設置“域組策略”2域控制器：活動目錄用戶和計算機----域---屬性----組策略----新建----編輯----域控制器：活動目錄用戶和計算機----域---屬性----組3組策略----用戶配置----管理模板----桌面----刪除我的文檔圖標---屬性----啟用組策略----用戶配置----管理模板----桌面----刪4完成后，逐層關閉到活動目錄界面完成后，逐層關閉到活動目錄界面52、“域組策略”的生效2、“域組策略”的生效6客戶機（client1(d)）端：注銷當前用戶并重新登錄到域客戶機（client1(d)）端：注銷當前用戶并重新登錄7我的文檔圖標被刪除（域組策略在客戶機生效）我的文檔圖標被刪除（域組策略在客戶機生效）8域控制器端：注銷當前用戶并重新登錄到域域控制器端：注銷當前用戶并重新登錄到域9我的文檔圖標被刪除（域組策略在域控制器上同樣生效）我的文檔圖標被刪除（域組策略在域控制器上同樣生效）103、在OU上設置“OU組策略”3、在OU上設置“OU組策略”11建組織單位“OU”，在OU內建立三個用戶：a、b、c建組織單位“OU”，在OU內建立三個用戶：a、b、c12OU----右鍵----屬性----組策略----新建----OUtest----編輯OU----右鍵----屬性----組策略----新建---13隱藏網上鄰居圖標-----啟用隱藏網上鄰居圖標-----啟用14逐層關閉到活動目錄界面逐層關閉到活動目錄界面154、“OU組策略”的生效及繼承現象4、“OU組策略”的生效及繼承現象16以OU內三用戶之中任意用戶a登錄到客戶機以OU內三用戶之中任意用戶a登錄到客戶機17我的文檔圖標消失（繼承域組策略），網上鄰居圖標消失（OU組策略生效）(注意不同點）我的文檔圖標消失（繼承域組策略），網上鄰居圖標消失（OU組策185、阻止策略繼承5、阻止策略繼承19OU屬性---組策略----選中“阻止策略繼承”OU屬性---組策略----選中“阻止策略繼承”20以OU內三用戶之中任意用戶b登錄到客戶機以OU內三用戶之中任意用戶b登錄到客戶機21我的文檔圖標出現（域組策略被阻止），網上鄰居圖標消失（只有OU組策略生效）我的文檔圖標出現（域組策略被阻止），網上鄰居圖標消失（只有O226、禁止替代：強制策略繼承

有些域策略（例如安全策略）不管下層OU如何阻止，一定要被貫徹實施6、禁止替代：強制策略繼承

有些域策略（例如安全策略）不管23域控制器：域屬性----組策略----domaintest---選項----禁止替代域控制器：域屬性----組策略----dom24禁止替代完成狀態禁止替代完成狀態25以OU內三用戶之中任意用戶c登錄到客戶機以OU內三用戶之中任意用戶c登錄到客戶機26我的文檔圖標消失（域組策略強制實施），網上鄰居圖標消失（OU組策略生效）我的文檔圖標消失（域組策略強制實施），網上鄰居圖標消失（OU277、組過濾問題：

組策略實施權限的管理7、組過濾問題：

組策略實施權限的管理28在OU內建用戶組ab，添加a、b為其成員在OU內建用戶組ab，添加a、b為其成員29OU---屬性---組策略---OUtest---屬性---安全---添加ab組---其權限默認（只讀，未采用組策略）OU---屬性---組策略---OUtest---屬性-30以ab組中任意用戶a登錄到客戶機以ab組中任意用戶a登錄到客戶機31我的文檔消失（域組策略生效），網上鄰居消失（OU組策略生效，與預期相反：ab組：“未采用組策略”）？？我的文檔消失（域組策略生效），網上鄰居消失（OU組策略生效，32原因：AuthenticatedUsers的存在。其相當于everyone但范圍擴展到所有安全對象（如：計算機），該用戶組成員具有采用組策略的權限，a、b都是其成員。請刪除該用戶組原因：AuthenticatedUsers的存在。其相當于33再次以用戶a登錄到客戶機再次以用戶a登錄到客戶機34網上鄰居出現（OU組策略被過濾，與預期相同）網上鄰居出現（OU組策略被過濾，與預期相同）35以非ab組中用戶c登錄到客戶機（預期：不受阻過濾影響，網上鄰居消失？）以非ab組中用戶c登錄到客戶機（預期：不受阻過濾影響，36與預期相反？？與預期相反？？37原因：安全對象中未包括c用戶，該用戶不受該組策略影響（被排除在外）。請添加c用戶原因：安全對象中未包括c用戶，該用戶不受該組策略影響（被38加入c用戶，并設置其權限為：只讀，采用組策略加入c用戶，并設置其權限為：只讀，采用組策略39以用戶c再次登錄到客戶機以用戶c再次登錄到客戶機40網上鄰居消失，與預期相同網上鄰居消失，與預期相同418、拒絕優先問題8、拒絕優先問題42恢復AuthenticatedUsers及其權限，可預期：a、b、c用戶都將采用OU策略，網上鄰居將消失恢復AuthenticatedUsers及其權限，可預期：43但如果對c用戶，設置其權限為：只讀，“拒絕”采用組策略但如果對c用戶，設置其權限為：只讀，“拒絕”采用組策略44重要提示重要提示45以a用戶登錄到域以a用戶登錄到域46網上鄰居消失，與預期相同（過濾失效）網上鄰居消失，與預期相同（過濾失效）47以c用戶登錄到域以c用戶登錄到域48網上鄰居未消失，拒絕優先！！網上鄰居未消失，拒絕優先！！499、策略沖突問題9、策略沖突問題50在域上創建新的GPO：DC-collision在域上創建新的GPO：DC-collision51設置：“刪除我的電腦”啟用；“隱藏IE圖標”禁用。設置：“刪除我的電腦”啟用；“隱藏IE圖標”禁用。52在OU上創建新的GPO：OU-collision在OU上創建新的GPO：OU-collision53設置與域上相沖突：“刪除我的電腦”禁用；“隱藏IE圖標”啟用。設置與域上相沖突：“刪除我的電腦”禁用；“隱藏IE圖標”啟用54以a用戶登錄到域以a用戶登錄到域55我的電腦出現，IE瀏覽器消失。OU上的策略覆蓋了域上的策略。結論：離用戶近的覆蓋離用戶遠的。但…

本地組策略（雖然最近）會被其他任何位置的策略覆蓋！我的電腦出現，IE瀏覽器消失。OU上的策略覆蓋了域上的策略。56真正的結論：

1、組策略只能在“本地（L）”、“站點（S）”、“域（D）”、“組織單位（OU）”上設置。（LSDOU）這也是策略生效的順序。

2、優先級卻與此相反，離用戶最近的OU策略（在不設置“阻斷繼承”、“禁止替代”情況下）具有最高優先級！其根本原因是：后生效的策略會“覆蓋”以前生效的策略。而“本地組策略”是首先生效的，也是首先被“覆蓋”的！

真正的結論：

1、組策略只能在“本地（L）”、“站點（S）57aa58aa59aa60aa61aa62aa63域組策略的實施域組策略的實施641、在域上設置“域組策略”1、在域上設置“域組策略”65域控制器：活動目錄用戶和計算機----域---屬性----組策略----新建----編輯----域控制器：活動目錄用戶和計算機----域---屬性----組66組策略----用戶配置----管理模板----桌面----刪除我的文檔圖標---屬性----啟用組策略----用戶配置----管理模板----桌面----刪67完成后，逐層關閉到活動目錄界面完成后，逐層關閉到活動目錄界面682、“域組策略”的生效2、“域組策略”的生效69客戶機（client1(d)）端：注銷當前用戶并重新登錄到域客戶機（client1(d)）端：注銷當前用戶并重新登錄70我的文檔圖標被刪除（域組策略在客戶機生效）我的文檔圖標被刪除（域組策略在客戶機生效）71域控制器端：注銷當前用戶并重新登錄到域域控制器端：注銷當前用戶并重新登錄到域72我的文檔圖標被刪除（域組策略在域控制器上同樣生效）我的文檔圖標被刪除（域組策略在域控制器上同樣生效）733、在OU上設置“OU組策略”3、在OU上設置“OU組策略”74建組織單位“OU”，在OU內建立三個用戶：a、b、c建組織單位“OU”，在OU內建立三個用戶：a、b、c75OU----右鍵----屬性----組策略----新建----OUtest----編輯OU----右鍵----屬性----組策略----新建---76隱藏網上鄰居圖標-----啟用隱藏網上鄰居圖標-----啟用77逐層關閉到活動目錄界面逐層關閉到活動目錄界面784、“OU組策略”的生效及繼承現象4、“OU組策略”的生效及繼承現象79以OU內三用戶之中任意用戶a登錄到客戶機以OU內三用戶之中任意用戶a登錄到客戶機80我的文檔圖標消失（繼承域組策略），網上鄰居圖標消失（OU組策略生效）(注意不同點）我的文檔圖標消失（繼承域組策略），網上鄰居圖標消失（OU組策815、阻止策略繼承5、阻止策略繼承82OU屬性---組策略----選中“阻止策略繼承”OU屬性---組策略----選中“阻止策略繼承”83以OU內三用戶之中任意用戶b登錄到客戶機以OU內三用戶之中任意用戶b登錄到客戶機84我的文檔圖標出現（域組策略被阻止），網上鄰居圖標消失（只有OU組策略生效）我的文檔圖標出現（域組策略被阻止），網上鄰居圖標消失（只有O856、禁止替代：強制策略繼承

有些域策略（例如安全策略）不管下層OU如何阻止，一定要被貫徹實施6、禁止替代：強制策略繼承

有些域策略（例如安全策略）不管86域控制器：域屬性----組策略----domaintest---選項----禁止替代域控制器：域屬性----組策略----dom87禁止替代完成狀態禁止替代完成狀態88以OU內三用戶之中任意用戶c登錄到客戶機以OU內三用戶之中任意用戶c登錄到客戶機89我的文檔圖標消失（域組策略強制實施），網上鄰居圖標消失（OU組策略生效）我的文檔圖標消失（域組策略強制實施），網上鄰居圖標消失（OU907、組過濾問題：

組策略實施權限的管理7、組過濾問題：

組策略實施權限的管理91在OU內建用戶組ab，添加a、b為其成員在OU內建用戶組ab，添加a、b為其成員92OU---屬性---組策略---OUtest---屬性---安全---添加ab組---其權限默認（只讀，未采用組策略）OU---屬性---組策略---OUtest---屬性-93以ab組中任意用戶a登錄到客戶機以ab組中任意用戶a登錄到客戶機94我的文檔消失（域組策略生效），網上鄰居消失（OU組策略生效，與預期相反：ab組：“未采用組策略”）？？我的文檔消失（域組策略生效），網上鄰居消失（OU組策略生效，95原因：AuthenticatedUsers的存在。其相當于everyone但范圍擴展到所有安全對象（如：計算機），該用戶組成員具有采用組策略的權限，a、b都是其成員。請刪除該用戶組原因：AuthenticatedUsers的存在。其相當于96再次以用戶a登錄到客戶機再次以用戶a登錄到客戶機97網上鄰居出現（OU組策略被過濾，與預期相同）網上鄰居出現（OU組策略被過濾，與預期相同）98以非ab組中用戶c登錄到客戶機（預期：不受阻過濾影響，網上鄰居消失？）以非ab組中用戶c登錄到客戶機（預期：不受阻過濾影響，99與預期相反？？與預期相反？？100原因：安全對象中未包括c用戶，該用戶不受該組策略影響（被排除在外）。請添加c用戶原因：安全對象中未包括c用戶，該用戶不受該組策略影響（被101加入c用戶，并設置其權限為：只讀，采用組策略加入c用戶，并設置其權限為：只讀，采用組策略102以用戶c再次登錄到客戶機以用戶c再次登錄到客戶機103網上鄰居消失，與預期相同網上鄰居消失，與預期相同1048、拒絕優先問題8、拒絕優先問題105恢復AuthenticatedUsers及其權限，可預期：a、b、c用戶都將采用OU策略，網上鄰居將消失恢復AuthenticatedUsers及其權限，可預期：106但如果對c用戶，設置其權限為：只讀，“拒絕”采用組策略但如果對c用戶，設置其權限為：只讀，“拒絕”采用組策略107重要提示重要提示108以a用戶登錄到域以a用戶登錄到域109網上鄰居消失，與預期相同（過濾失效）網上鄰居消失，與預期相同（過濾失效）110以c用戶登錄到域以c用戶登錄到域111網上鄰居未消失，拒絕優先！！網上鄰居未消失，拒絕優先！！1129、策略沖突問題9、策略沖突問題113在域上創建新的G