在域環(huán)境中，組策略為我們網(wǎng)絡(luò)管理員提供了一個很好的網(wǎng)絡(luò)管理平臺，大大提高了我們網(wǎng)路管理的效率與安全性。不過，組策略強調(diào)的是一個統(tǒng)一的安全管理策略。為了達到這個目標(biāo)，光用組策略還是不行的，需要一些組策略應(yīng)用的控制手段，才能夠達到這個目標(biāo)。下面，筆者就為大家說說在域控制器的組策略管理平臺中，提供了哪些組策略的管理工具，以及這些工具在什么時候使用可以達到事半功倍的效果。

　　一、 強制使用組策略

　　我們在配置組策略的時候，往往具有共性與個性的區(qū)別。如一些共性的設(shè)置，我們希望企業(yè)內(nèi)部不分老幼都必須遵守。如我們可以通過組策略實現(xiàn)當(dāng)主機加入到域中時必須自動安裝殺毒軟件的客戶端并自動升級;如我們還可以通過組策略限制用戶端修改IP地址等等。這些對于企業(yè)網(wǎng)絡(luò)來說，是一些共性的內(nèi)容。我們雖然在分組的時候，按部分分組，分了銷售部門OU、采購部么OU等等，但是，這些共性的內(nèi)容我們希望這些OU都遵守。

　　但是，在上篇文章中，筆者也談到了一些例外。如對于“禁止用戶修改IP地址”這個組策略，若在下面的子OU中，若沒有對這個組策略配置過，則其會繼承這個組策略。但是，若其配置過這個組策略，把這個策略配置成“允許用戶修改IP地址”，則一般情況下，這個配置值就會覆蓋上級傳遞下來參數(shù)。這是我們不希望看到的。

　　遇到這種情況我們該如何呢?在域控制器的組策略應(yīng)用中，提供了一個“強制策略繼承”的選項。若我們在配置組策略的過程中，選中這個選型的話，則無論下面的容器是否對這個組策略配置過，域控制器會強制的讓子OU繼承父OU的選項。官方資料時這么定義強制策略繼承的，強制策略繼承是指可以在父容器中通過組策略的“禁止替代”選項強制子容器必須繼承(不準(zhǔn)覆蓋)此組策略內(nèi)的組策略設(shè)定，而不論子容器是否設(shè)置了阻止策略繼承。

　　通過這個定義，我們可以明白以下幾點內(nèi)容。

　　一是這個“禁止替代”選項，是針對具體的組策略而言的，而不是應(yīng)用在OU上的所有組策略。如現(xiàn)在有個父OU叫管理人員，在這個OU上我們配置了5個組策略。然后，若網(wǎng)絡(luò)管理員認(rèn)為其中的兩個組策略比較具有共性，需要下面的所有人員都遵守，如此的話，就可以把這兩個組策略設(shè)置為“禁止替代”。則下面的子OU只有這兩個組策略不能覆蓋，另外的三個組策略仍然可以通過更改子OU的配置而實現(xiàn)覆蓋。

　　二是“禁止替代”選項對于“阻止策略繼承”也仍然有效。也就是說，我們在子OU中，設(shè)置了“阻止策略繼承”選項，組策略仍然以子OU的配置值為準(zhǔn)，即使沒有配置，也才用默認(rèn)的值，而不采用父OU的組策略配置。但是，我們?nèi)粼诟窸U的某個組策略中，選中了“禁止替代”的值，則域控制器在組策略應(yīng)用的時候，就會忽略子OU中的“阻止策略繼承”選項，而直接把父OU的組策略配置傳遞給子OU。當(dāng)然，這也是針對特定的組策略而言，而不是指應(yīng)用在父OU上的所有組策略。
(責(zé)任編輯：武林網(wǎng))