组策略处理和优先级
应用于某个用户(或计算机)的组策略对象 (GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。
处理设置的顺序
本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第 3 步和第 8 步。
组策略设置是按下列顺序进行处理的:
1.本地组策略对象 — 每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处理该内容。
2.站点 — 接下来要处理任何已经链接到计算机所属站点的 GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的 GPO 最后处理,因此具有最高的优先级。
3.域 — 多个域链接 GPO 的处理顺序是由管理员在 GPMC 中该域的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的 GPO 最后处理,因此具有最高的优先级。
4.组织单位 — 链接到 Active Directory 层次结构中最高层组织单位的 GPO 最先处理,然后是链接到其子组织单位的 GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的 GPO。
在 Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接 GPO。如果一个组织单位链接了几个 GPO,它们的处理顺序则由管理员在 GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的 GPO 最后处理,因此具有最高的优先级。
该顺序意味着首先会处理本地 GPO,最后处理链接到计算机或用户直接所属的组织单位的 GPO,它会覆盖以前 GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。)
返回页面顶部返回页面顶部
设置默认处理顺序的例外
设置的默认处理顺序受下列例外情况的影响:
GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。 GPO 可以禁用其用户设置、禁用其计算机设置,也可以禁用所有设置。默认情况下,GPO 上的用户设置和计算机设置都不禁用。 组织单位或域可以设置成“阻止继承”。默认情况下,不设置成“阻止继承”。
有关默认行为的上述修改的信息,请参阅管理组策略继承。
作为工作组成员的计算机仅处理本地组策略对象。
可以启用环回。有关环回的信息,请参阅在合并或替换时启用环回处理。
启动和登录
下面的序列显示了计算机启动和用户登录时计算机策略和用户策略的应用顺序:
1.网络启动。远程过程调用系统服务 (RPCSS) 和多重通用命名约定提供程序 (MUP) 启动。(Windows XP Professional 是该规则的一个例外。默认情况下,在 Windows XP Professional 中组策略处理不会等待网络启动。该默认行为可通过策略设置进行更改。)
2.获取用于该计算机的 GPO 顺序列表。该列表可能取决于下列因素:
计算机是否属于域,并因此通过 Active Directory 受组策略的控制。 计算机在 Active Directory 中的位置。 组策略对象列表是否已经更改。如果 GPO 列表没有更改,则不进行任何处理。可以使用策略设置更改该行为。 管理员设置的任何强制/阻止。管理员可以将策略设置为一个总是会应用的更高级别,
这个过程称为强制,以前称为禁止替代。另外,管理员还可以设置一个容器来阻止更高级别的任何策略的应用。注意:管理员设置为强制的更高级别的策略将继续应用,即使设置了以上级别的阻止也是如此。
3.计算机策略得以应用。这些都是收集的列表中“计算机配置”下的设置。GPO 是按照下列顺序应用的:本地、站点、域、组织单位、子组织单位等。在处理计算机策略时,不出现任何通知。可以通过策略打开详细日志记录,以显示处理计算机策略的通知。
有关在应用用户或计算机策略时处理设置的顺序的详细信息,请参阅本主题中的处理设置的顺序。
4.启动脚本运行。默认情况下这是隐藏而且是同步进行的;每个脚本在下一个脚本开始执行之前要么必须完成,要么做超时处理。默认的超时时间为 600 秒。可以使用几个策略设置更改该行为。
注意
任何版本的 Windows XP Professional 都提供了“快速登录优化”功能。默认情况下,
使用这些操作系统的计算机在引导时不会等待网络启动。登录之后,一旦网络可用,策略将立即在后台进行处理。这就意味着在登录和启动时,计算机将继续使用以前的策略设置。因此,对于只能在引导或登录时应用的设置(如软件安装和文件夹重定向),用户可以在对 GPO 进行初始更改之后为多次登录请求这样的设置。该策略由“计算机配置\管理模板\系统\登录\计算机启动或登录时总是等待网络”中的设置控制。该功能在 Windows 2000 或 Windows Server 2003 版本中不可用。
1.用户按 Ctrl-Alt-Del 登录。
2.用户通过验证后,加载用户配置文件;这是由当前生效的策略设置控制的。
3.获取用于该用户的 GPO 顺序列表。该列表可能取决于下列因素:
用户是否属于域,并因此通过 Active Directory 受组策略的控制。 是否启用了环回,以及环回策略设置的状态(“合并”还是“替换”)。 用户在 Active Directory 中的位置。 管理员设置的任何强制/阻止。管理员可以将策略设置为一个总是会应用的更高级别,
这个过程称为强制,以前称为禁止替代。另外,管理员还可以设置一个容器来阻止更高级别的任何策略的应用。注意:管理员设置为强制的更高级别的策略将继续应用,即使设置了以上级别的阻止也是如此。
4.用户策略已被应用。这些都是收集的列表中“用户配置”下的设置。GPO 是按照下列顺序处理的:本地、站点、域、组织单位、子组织单位等。在处理用户策略时,不出现任何通知。(可以通过策略打开通知。)
有关在应用用户或计算机策略时处理设置的顺序的详细信息,请参阅本主题中的处理设置的顺序。
5.登录脚本运行。与 Windows NT 4.0 脚本不同,基于组策略的登录脚本在默认情况下是隐藏并且异步运行的。最后,在常规窗口中运行用户对象脚本。还有一个登录超时脚本。
6.出现由组策略预定义的操作系统用户界面。
要点
在迁移过程中有三种特殊情况值得考虑:
如果计算机帐户对象在 Windows NT 4.0 域中而用户帐户对象在 Active Directory 中,
则用户登录时仅处理用于计算机(而非用户)的系统策略。然后再处理用户(而非计算 机)组策略。 如果计算机帐户对象在 Active Directory 中而用户帐户对象在 Windows NT 4.0 域中,
则计算机启动时处理计算机(而非用户)组策略。用户登录时,处理用户(而非计算机)系统策略。
如果计算机的计算机帐户和用户帐户都是 Windows NT 4.0 域的成员,那么用户登录时只应用计算机和用户的系统策略(而非组策略)。
注意
可以修改这些事件中的部分事件。可以将策略设置为:
将运行脚本的同步或异步默认值进行反向设置。 指定脚本的超时时间。默认情况下脚本超时时间为 600 秒。 更改脚本运行方式:隐藏、最小化或正常窗口。
组策略处理和优先级
应用于某个用户(或计算机)的组策略对象 (GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。
处理设置的顺序
本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第 3 步和第 8 步。
组策略设置是按下列顺序进行处理的:
1.本地组策略对象 — 每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处理该内容。
2.站点 — 接下来要处理任何已经链接到计算机所属站点的 GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的 GPO 最后处理,因此具有最高的优先级。
3.域 — 多个域链接 GPO 的处理顺序是由管理员在 GPMC 中该域的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的 GPO 最后处理,因此具有最高的优先级。
4.组织单位 — 链接到 Active Directory 层次结构中最高层组织单位的 GPO 最先处理,然后是链接到其子组织单位的 GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的 GPO。
在 Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接 GPO。如果一个组织单位链接了几个 GPO,它们的处理顺序则由管理员在 GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的 GPO 最后处理,因此具有最高的优先级。
该顺序意味着首先会处理本地 GPO,最后处理链接到计算机或用户直接所属的组织单位的 GPO,它会覆盖以前 GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。)
返回页面顶部返回页面顶部
设置默认处理顺序的例外
设置的默认处理顺序受下列例外情况的影响:
GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。 GPO 可以禁用其用户设置、禁用其计算机设置,也可以禁用所有设置。默认情况下,GPO 上的用户设置和计算机设置都不禁用。 组织单位或域可以设置成“阻止继承”。默认情况下,不设置成“阻止继承”。
有关默认行为的上述修改的信息,请参阅管理组策略继承。
作为工作组成员的计算机仅处理本地组策略对象。
可以启用环回。有关环回的信息,请参阅在合并或替换时启用环回处理。
启动和登录
下面的序列显示了计算机启动和用户登录时计算机策略和用户策略的应用顺序:
1.网络启动。远程过程调用系统服务 (RPCSS) 和多重通用命名约定提供程序 (MUP) 启动。(Windows XP Professional 是该规则的一个例外。默认情况下,在 Windows XP Professional 中组策略处理不会等待网络启动。该默认行为可通过策略设置进行更改。)
2.获取用于该计算机的 GPO 顺序列表。该列表可能取决于下列因素:
计算机是否属于域,并因此通过 Active Directory 受组策略的控制。 计算机在 Active Directory 中的位置。 组策略对象列表是否已经更改。如果 GPO 列表没有更改,则不进行任何处理。可以使用策略设置更改该行为。 管理员设置的任何强制/阻止。管理员可以将策略设置为一个总是会应用的更高级别,
这个过程称为强制,以前称为禁止替代。另外,管理员还可以设置一个容器来阻止更高级别的任何策略的应用。注意:管理员设置为强制的更高级别的策略将继续应用,即使设置了以上级别的阻止也是如此。
3.计算机策略得以应用。这些都是收集的列表中“计算机配置”下的设置。GPO 是按照下列顺序应用的:本地、站点、域、组织单位、子组织单位等。在处理计算机策略时,不出现任何通知。可以通过策略打开详细日志记录,以显示处理计算机策略的通知。
有关在应用用户或计算机策略时处理设置的顺序的详细信息,请参阅本主题中的处理设置的顺序。
4.启动脚本运行。默认情况下这是隐藏而且是同步进行的;每个脚本在下一个脚本开始执行之前要么必须完成,要么做超时处理。默认的超时时间为 600 秒。可以使用几个策略设置更改该行为。
注意
任何版本的 Windows XP Professional 都提供了“快速登录优化”功能。默认情况下,
使用这些操作系统的计算机在引导时不会等待网络启动。登录之后,一旦网络可用,策略将立即在后台进行处理。这就意味着在登录和启动时,计算机将继续使用以前的策略设置。因此,对于只能在引导或登录时应用的设置(如软件安装和文件夹重定向),用户可以在对 GPO 进行初始更改之后为多次登录请求这样的设置。该策略由“计算机配置\管理模板\系统\登录\计算机启动或登录时总是等待网络”中的设置控制。该功能在 Windows 2000 或 Windows Server 2003 版本中不可用。
1.用户按 Ctrl-Alt-Del 登录。
2.用户通过验证后,加载用户配置文件;这是由当前生效的策略设置控制的。
3.获取用于该用户的 GPO 顺序列表。该列表可能取决于下列因素:
用户是否属于域,并因此通过 Active Directory 受组策略的控制。 是否启用了环回,以及环回策略设置的状态(“合并”还是“替换”)。 用户在 Active Directory 中的位置。 管理员设置的任何强制/阻止。管理员可以将策略设置为一个总是会应用的更高级别,
这个过程称为强制,以前称为禁止替代。另外,管理员还可以设置一个容器来阻止更高级别的任何策略的应用。注意:管理员设置为强制的更高级别的策略将继续应用,即使设置了以上级别的阻止也是如此。
4.用户策略已被应用。这些都是收集的列表中“用户配置”下的设置。GPO 是按照下列顺序处理的:本地、站点、域、组织单位、子组织单位等。在处理用户策略时,不出现任何通知。(可以通过策略打开通知。)
有关在应用用户或计算机策略时处理设置的顺序的详细信息,请参阅本主题中的处理设置的顺序。
5.登录脚本运行。与 Windows NT 4.0 脚本不同,基于组策略的登录脚本在默认情况下是隐藏并且异步运行的。最后,在常规窗口中运行用户对象脚本。还有一个登录超时脚本。
6.出现由组策略预定义的操作系统用户界面。
要点
在迁移过程中有三种特殊情况值得考虑:
如果计算机帐户对象在 Windows NT 4.0 域中而用户帐户对象在 Active Directory 中,
则用户登录时仅处理用于计算机(而非用户)的系统策略。然后再处理用户(而非计算 机)组策略。 如果计算机帐户对象在 Active Directory 中而用户帐户对象在 Windows NT 4.0 域中,
则计算机启动时处理计算机(而非用户)组策略。用户登录时,处理用户(而非计算机)系统策略。
如果计算机的计算机帐户和用户帐户都是 Windows NT 4.0 域的成员,那么用户登录时只应用计算机和用户的系统策略(而非组策略)。
注意
可以修改这些事件中的部分事件。可以将策略设置为:
将运行脚本的同步或异步默认值进行反向设置。 指定脚本的超时时间。默认情况下脚本超时时间为 600 秒。 更改脚本运行方式:隐藏、最小化或正常窗口。