Active Directory 环境中使用组策略管理控制台 9468915501
Windows XP 客户端的软件限制策略
安全指南Windows XP 客户端的软件限制策略更新日期: 2004年03月01日本页内容本模块内容目标适用范围如何使用本模块软件限制策略软件限制策略体系结构软件限制策略选项软件限制策略的设计和部署摘要本模块内容Microsoft® Windows® XP Professional 和 Microsoft Windows Server™ 2003 提供了“软件限制策略”功能,管理员可用来控制软件在本地计算机上运行的能力。
通过此功能,管理员可以防止用户运行未经授权的软件,并提供了其他保护措施以防病毒和特洛伊木马程序的攻击。
由于软件限制策略已集成到组策略中,因此可将其部署在 Microsoft Active Directory® 目录服务域中。
此外,还可将软件限制策略部署在独立计算机中。
返回页首目标使用本模块可以实现下列目标:•设计和部署软件限制策略•选择正确的规则类型并使用它来标识软件•控制软件限制策略使用的检查级别•将软件限制策略配置为始终允许管理员运行软件返回页首适用范围本模块适用于下列产品和技术:•Windows Server 2003 域中的 Windows XP Professional Service Pack (SP) 1 客户端•独立的 Windows XP Professional SP1 客户端返回页首如何使用本模块此模块详细描述了软件限制策略以及如何使用它们来控制软件在本地计算机上运行的能力。
为了充分理解本模块内容,请返回页首软件限制策略软件限制策略为管理员提供了一套策略驱动机制,用于标识软件并控制该软件在本地计算机上运行的能力。
这些策略可以确保环境中运行 Windows XP Professional 的计算机之间不存在已知冲突,并保护计算机免受恶意病毒和特洛伊木马程序的攻击。
软件限制策略与 Active Directory 和组策略完全集成。
Windows Server活动目录企业应用Windows Server使用组策略管理用户工作环境
Windows Server活动目录企业应用项目四 使用组策略管理用户地工作环境四.一有关知识识组策略是一种能够让系统管理员充分管理与控制用户工作环境地功能通过它来确保用户拥有符合组织要求地工作环境,也通过它来限制用户,这样不但可以让用户拥有适当地环境,也可以减轻系统管理员地管理负担。
本节介绍如何使用组策略来简化在Active Directory环境管理计算机与用户。
将了解组策略对象(GPO)结构以及如何应用GPO,还有应用GPO时地某些例外情况。
本节还将讨论Windows Server 二零一二提供地组策略功能,这些功能也有助于简化计算机与用户管理。
四.一.一组策略组策略是一种技术,它支持Active Directory环境计算机与用户地一对多管理,特点如图六-一所示。
图六-一组策略通过编辑组策略设置,并针对目地用户或计算机设计组策略对象(GPO),可以集管理具体地配置参数。
这样,只更改一个GPO,就能管理成千上万地计算机或用户。
组策略对象是应用于选定用户与计算机地设置地集合。
组策略可控制目地对象地环境地很多方面,包括注册表,NTFS文件系统安全,审核与安全策略,软件安装与限制,桌面环境,登录/注销脚本等。
通过链接,一个GPO可与AD DS地多个容器关联。
反过来,多个GPO也可链接到一个容器。
一.域策略域级策略只影响属于该域地用户与计算机。
默认情况下存在两个域级策略,如表六-一所示。
表六-一默认域级策略(域策略,域控制器策略)可以创建其它域级策略,然后将其链接到AD DS地各种容器,以将具体配置应用于选定对象。
例如,提供额外安全设置地GPO可应用于包含应用程序服务器计算机账户地组织单位。
又如,GPO可限制某个组织单位用户地桌面环境。
二.本地策略运行Windows 二零零零 Server或更高版本操作系统地每台计算机都有本地组策略。
此策略影响本地计算机以及登录到该计算机地任何用户,包括从该本地计算机登录到域地域用户。
管理员操作手册-AD域控及组策略管理51CTO下载
四川省烟草专卖局(公司) 效能协同平台管理员操作手册AD域控及组策略管理版本号1.0日期:2011年6月山东浪潮齐鲁软件产业股份有限公司文档修订记录ﻬ目录一、ActiveDirectory(AD)活动目录简介4ﻬ1、工作组与域的区别 (4)2、公司采用域管理的好处 (4)3、ActiveDirectory(AD)活动目录的功能ﻬ6二、AD域控(DC)基本操作 (6)1、登陆AD域控.................................................................................................................. 62、新建组织单位(OU)8ﻬ3、新建用户10ﻬ4、调整用户11ﻬ5、调整计算机14ﻬ三、AD域控常用命令15ﻬ1、创建组织单位:(dsadd)15ﻬ2、创建域用户帐户(dsadd)............................................................................................ 153、创建计算机帐户(dsadd)ﻬ154、创建联系人(dsadd)16ﻬ5、修改活动目录对象(dsmod)16ﻬ6、其他命令(dsquery、dsmove、dsrm)17ﻬ四、组策略管理................................................................................................................... 191、打开组策略管理器19ﻬ2、受信任的根证书办法机构组策略设置ﻬ203、IE安全及隐私组策略设置ﻬ254、注册表项推送30ﻬ五、ﻬ设置DNS转发33ﻬ一、Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于:1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。
Windows Server 2008中Active Directory域的配置管理
Windows Server 2008中Active Directory域的配置管理摘要:随着计算机技术的发展,利用域管理网内计算机的新技术得到广泛应用,本文图例介绍了windows平台的active directory 域及配置管理方法关键词:windows server active directory域配置管理中图分类号:tp316 文献标识码:a 文章编号:1007-9416(2012)02-0155-02活动目录(active directory)是windows server 2008操作系统提供的一种新的目录服务。
所谓目录服务其实就是提供了一种按层次结构组织的信息,然后按名称关联检索信息的服务方式。
这种服务提供了一个存储在目录中的各种资源的统一管理视图,从而减轻了企业的管理负担。
另外,它还为用户和应用程序提供了对其所包含信息的安全访问。
活动目录作为用户、计算机和网络服务相关信息的中心,支持现有的行业标准ldap(lightweight directory access protocal,轻量目录访问协议)第8版,使任何兼容ldap 的客户端都能与之相互协作,可访问存储在活动目录中的信息,如linux、novell系统等。
创建域之前需验证windows server 2008系统具备以下条件:(1)在安装windows server 2008的计算机上至少有一个ntfs分区,至少有250m的空间。
(2)计算机上必须配置好ip地址和dns服务器地址。
(3)具须具备管理员权限。
dns服务可以在安装活动目录前安装,也可以在活动目录集成安装,即在安装活动目录过程中安装。
1、安装active directory域一般情况下,在新安装系统时,系统会提示是否选择安装【活动目录】选项,通常不安装活动目录,以便用户有时间来规划与活动目录有关的协议和系统结构。
活动目录服务一般需要在安装windows server 2008后进行安装,可以使用“dcpromo”命令,“dcpromo”是一个图形化的向导程序,它将引导用户一步一步地建立域控制器。
如何使用ActiveDirectory管理Windows用户和组
如何使用ActiveDirectory管理Windows用户和组Active Directory(AD)是Windows操作系统中最常用的目录服务,它允许管理员集中管理用户账户、安全策略、组织单位等,为组织提供基于角色的访问控制和身份认证。
本文将介绍如何使用Active Directory管理Windows用户和组。
第一章:Active Directory简介Active Directory是Windows Server操作系统的一项功能,用于集中管理用户、计算机、服务和其他资源。
它提供了分层的目录结构,按照域的概念组织,每个域包含一个或多个域控制器(Domain Controller)。
域控制器负责存储、验证和复制目录信息。
第二章:创建AD域和域控制器首先,我们需要创建一个自己的AD域。
在开始之前,请确保你有一台安装了Windows Server操作系统的计算机,并且以管理员身份登录。
打开“服务器管理器”,选择“添加角色和功能”,在向导中选择“Active Directory域服务”。
按照向导的提示完成安装,安装过程中会要求你创建一个新的域或加入现有域。
第三章:添加用户账户在Active Directory中,用户账户用来标识和验证用户。
为了添加新的用户账户,我们可以打开“Active Directory用户和计算机”,在合适的组织单位(OU)下右键选择“新建用户”并按照向导的提示填写相关信息。
一般来说,我们需要设置账户名称、用户名、密码、描述等信息。
新建用户账户后,可以通过选中该用户账户,右键选择“重置密码”来更改用户密码。
第四章:创建和管理组在Active Directory中,组用于将用户账户和计算机账户进行逻辑分组,以便于管理。
创建新组的方法与添加用户账户类似,只需在“Active Directory用户和计算机”中选择合适的OU,右键选择“新建组”。
在组属性中,我们可以设置组名称、描述、成员等信息。
Active Directory和组策略教材
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
6.规划多元密码和帐户锁定策略
❖ 以前的Active Directory实现中,只能对域中的所有用户应 用一个密码和帐户锁定策略。
存放一个可写的DC和一个管理员,浪费太大。 存放一个可写的DC,让管理员远程管理,带宽低,费时
又棘手。 存放一个可写的DC不如WAN安全。
❖ RODC解决方案:
RODC提供了增强的安全性; 使登录更快速,并且允许更有效地访问本地资源; 路漫漫其悠远 RODC管理可以委派给一个没有管理权限的用户或组。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
4.委派RODC安装
❖ 在总公司DC中,可以委派合适的权限给一个用户或组。 ❖ 分支办公室的用户接受了委派权限后,就可以执行RODC
的安装,并可以管理RODC,但不需要域管理员权限。 ❖ 过程:
首先创建RODC账户; 安装过程中就可以关联/委派。
影子组(全局安全组),然后应用PSO。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
6.规划多元密码和帐户锁定策略
❖ 将PSO应用于组而不是OU,可以不用修改OU层次结构,组 为管理各用户集提供了更好的灵活性。
❖ 使用多元密码,需要具有2008域功能级别。 ❖ 只有域管理组的成员才可以创建PSO,以及将一个PSO应
❖ 因此,在用户相对较少,物理安全性差,网络带宽较低, IT 知识贫乏的环境下,可以采用RODC。 提供了只读AD DS数据库、单向复制、凭证缓存、管理 员角色分离、只读DNS(不支持客户更新)等功能。
一.手动安装ActiveDirectory:1.单击“开始”按钮,单击“运行”,键..
一.手动安装Active Directory:1.单击“开始”按钮,单击“运行”,键入“DCPROMO”,然后单击“确定”。
2.在出现“Active Directory 安装向导”时,单击“下一步”开始安装。
3.阅读“操作系统兼容性”信息后,单击“下一步”。
4.选择“新域的域控制器”(默认),然后单击“下一步”。
5.选择“在新林中的域”(默认),然后单击“下一步”。
6.对于“DNS 全名”,键入“”,然后单击“下一步”。
(这表示一个完全限定的名称。
)7.单击“下一步”,接受将“test”作为默认“域NetBIOS 名”。
(NetBIOS 名称提供向下兼容性。
)8.在“数据库和日志文件文件夹”屏幕上,将Active Directory“日志文件文件夹”指向“L:\Windows\NTDS”,然后单击“下一步”继续。
9.保留“共享的系统卷”的默认文件夹位置,然后单击“下一步”。
10.在“DNS 注册诊断”屏幕上,单击“在这台计算机上安装并配置DNS 服务器”。
单击“下一步”继续。
11.选择“只与Windows 2000 或 Windows Server 2003 操作系统兼容的权限”(默认),然后单击“下一步”。
12.在“还原模式密码”和“确认密码”中,键入密码,然后单击“下一步”继续。
13.单击“下一步”开始安装Active Directory。
14.在“Active Directory 安装向导”完成后,单击“完成”。
15.单击“立即重新启动”以重新启动计算机。
二.创建组织单位和组,创建OU 和安全组1.单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
2.单击“”旁边的“+”号将其展开。
单击“”本身,显示其在右窗格中的内容。
3.在左窗格中,右键单击“”,指向“新建”,然后单击“组织单位”。
4.在名称框中键入“testou1”,然后单击“确定”。
如何管理Active_Directory用户和计算机
管理Active Directory用户和计算机服务器技术2010-01-26 21:36:55 阅读133 评论0 字号:大中小在使用Windows Server 2003 所包括的Active Directory服务的网络上,每个用户都必须由目录中的一个用户对象来表示。
用户对象由包含用户信息的属性和用户在网络上的权利组成。
创建和管理用户对象是网络管理员执行的常见任务。
一、用户账号简介用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。
定期使用网络的每个人都应有一个惟一的用户账号。
Windows Server 2003提供两种主要类型的用户账号:本地用户账号和域用户账号。
除此之外,Windows Server 2003系统中还有内置的用户账号。
1.本地用户账号(Local User Account)本地用户账号只能登录到账号所在计算机并获得对该资源的访问。
当创建本地用户账号后,Windows Server 2003将在该机的本地安全性数据库中创建该账号,本地账号信息仍为本地,不会被复制到其他计算机或域控制器。
当创建一个本地用户账号后,计算机使用本地安全性数据库验证本地用户账号,以便让用户登录到该计算机。
注意不要在需要访问域资源的计算机上创建本地用户账号,因为域不能识别本地用户账号,也不允许本地用户访问域资源。
而且,域管理员也不能管理本地用户账号,除非他们用计算机管理控制台中的操作菜单连接到本地计算机。
2.域用户账号(Domain User Account)域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。
域用户账号是在域控制器上建立的,作为AD的一个对象保存在域的AD数据库中。
用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号,该账号将被域的域控制器所验证。
当在一个域控制器上新建一个用户账号后,该用户账号被复制到域中所有其他计算机上,复制过程完成后,域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Active Directory 环境中使用组策略管理控制台9468915501该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。
该指南并不提供G PO 实施指导。
本页内容简介逐步式指南Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。
本指南第一介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory®;安装Windows XP Professional 工作站并最后将此工作站添加到域中。
后续逐步式指南假定您已建立了此通用网络结构。
如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
••在配置通用网络结构后,能够使用任何其他的逐步式指南。
注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。
任何额外的要求都将列在特定的逐步式指南中。
Microsoft Virtual PC能够在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003部署逐步式指南。
借助于虚拟机技术,客户能够同时在一台物理服务器上运行多个操作系统。
Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。
Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。
将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。
重要讲明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。
此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。
您不应在公共网络或Internet 上使用此名称。
此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。
不能将其作为任何组织进行Active Directory 配置的模型。
概述Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具,它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。
它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。
GPMC 提供单一位置来治理组策略核心内容,从而简化了组策略的治理。
它能够按照用户需要提供以下功能来满足最高的组策略部署要求。
•使组策略更易于使用的用户界面(UI)。
•组策略对象(GPO) 备份/还原。
•GPO 导入/导出和复制/粘贴以及Windows Management Instrumentation (WMI) 选择器。
•简化了对组策略有关安全功能的治理。
•GPO 设置和策略的结果集(RSoP) 数据的超文本标记语言(HTML) 报告。
•将此工具中提供的策略有关任务编制成脚本(而不是将GPO 设置编制成脚本)。
过去,治理员需要使用几个Microsoft 工具来治理组策略,如“Active Directory 用户和运算机”、“Active Directory 站点和服务”以及“策略的结果集”治理单元。
GPMC 将这些工具中提供的现有组策略功能以及一些新功能集成到一个统一的操纵台中。
GPMC 中内置了对多个域和林治理的支持,因此,治理员能够方便地治理整个企业中的组策略。
治理员能够完全操纵在GPMC 中列出哪些林和域,因而能够只显示环境的有关部分。
先决条件••••••安装和配置GPMC安装GPMC要安装组策略治理操纵台,请按照以下步骤操作:1. 在服务器“HQ-CON-DC-01”上,扫瞄到包含“gpmc.msi”的文件夹,双击“gpmc.msi”程序包,然后单击“下一步”。
2. 单击“我同意”,同意最终用户许可协议(EULA),然后单击“下一步”。
3. 单击“完成”以完成GPMC 安装。
在安装完成后,更新Active Directory 治理单元中站点、域和组织单位(OU) 属性页上显示的“组策略”选项卡以提供到GPMC 的直截了当链接。
由于所有组策略治理功能差不多上通过GPMC 提供的,因此,无法再使用先前在原始“组策略”选项卡上提供的功能。
要打开GPMC 治理单元,请按照以下步骤操作:1. 在服务器“HQ-CON-DC-01”上,单击“开始”按钮,单击“运行”,键入“GPMC.msc”,然后单击“确定”。
注意:此外,也能够使用以下两种方法之一启动GPMC。
•在“开始”菜单或“操纵面板”中,单击“治理工具”文件夹中的“组策略治理”快捷方式。
•创建自定义的MMC 操纵台:单击“开始”按钮,单击“运行”,键入“MMC”,然后单击“确定”。
指向“文件”,单击“添加/删除治理单元”,然后单击“添加”。
单击以突出显示“组策略治理”,单击“添加”,单击“关闭”,然后单击“确定”。
为多个林配置GPMC您能够方便地将多个林添加到GPMC 操纵台树中。
默认情形下,只有在某个林与运行GPMC 的用户林之间具有双向信任关系时,才能将其添加到GPMC 中。
您能够有选择地承诺GPMC 使用仅单向信任关系或全然不使用信任关系。
通过突出显示树根名目中的“组策略治理”,从上下文菜单中选择“操作”,然后单击“添加林”,将另一个林添加到GPMC 中。
由于示例环境只包含单个林,因此,执行这些步骤超出了本逐步式指南的讨论范畴。
注意:在添加不受信任的林时,将无法使用某些功能。
例如,不能使用“组策略建模”,同时无法打开“组策略对象编辑器”以编辑不受信任的林中的GPO。
不受信任的林方案要紧用于支持跨林复制GPO。
同时治理多个域GPMC 支持同时治理多个域,同时每个域在操纵台中是按林进行分组的。
默认情形下,GPMC 中只显示一个域。
在第一使用预配置的治理单元(gpmc.msc) 或自定义MMC 操纵台启动GPMC 后,GPMC 将显示包含用于启动GPMC 的用户帐户的域。
通过添加和删除操纵台中显示的域,您能够指定每个林中要使用GPMC 治理的域。
注意:即使您没有整个林的林信任关系,您也可添加外部信任域。
默认情形下,要添加的域和用户对象域之间必须具有双向信任关系。
也能够通过使用“查看”菜单中的“选项”对话框禁用GPMC 的信任检测功能,来添加具有单向信任关系的域。
要添加外部信任域,您必须先使用“添加林”对话框,从包含外部信任域的林中添加一个域。
在添加该林后,您可通过右键单击该林的“域”节点,然后单击“显示域”,在该受信任的林中添加任何域。
1.2. 右键单击“域”,然后单击“显示域”。
3.图 1. 显示域在GPMC 的每个可用域中,可使用相同的域操纵器来完成该域中的所有操作。
这包括位于该域中的GPO、OU、安全主体以及WMI 选择器上的所有操作。
另外,在从GPMC 中打开“组策略对象编辑器”时,它始终将GPMC 中的目标域操纵器用于GPO 所在的域。
GPMC 承诺您为每个域选择使用哪个域操纵器。
您能够选择四个选项之一。
•使用主域操纵器(PDC) 模拟器(默认选项)。
•使用任何可用的域操纵器。
•使用运行Windows Server 2003 家族操作系统的任何可用域操纵器。
如果您要还原包含组策略软件安装设置的已删除GPO,该选项是专门有用的。
•使用指定的特定域操纵器。
1.2.3. 单击“确定”连续。
图 2. 更换域操纵器治理组策略对象查看域GPO在每个域中,GPMC 都提供了一个基于策略的Active Directory 视图以及与组策略关联的组件,如GPO、WMI 选择器以及GPO 链接。
GPM C 中的视图与“Active Directory 用户和运算机”MMC 治理单元中的视图类似,它们都显示OU 分层结构。
然而,GPMC 与该治理单元不同之处在于,它不显示OU 中的用户、运算机和组,而显示链接到每个容器的GP O 以及链接到这些GPO 本身的GPO。
GPMC 中的每个域节点都显示以下项目。
•链接到该域的所有GPO。
•所有顶级OU、嵌套OU 树状视图以及链接到每个OU 的GPO。
•显示域中所有GPO 的“组策略对象”容器。
•显示域中所有WMI 选择器的“WMI 选择器”容器。
要查看与特定容器关联的GPO,请按照以下步骤操作:1.要查看与特定域关联的所有GPO,请按照以下步骤操作:1.搜索GPO能够在林或域级不进行GPO 搜索。
通过使用单个或多个搜索参数,有助于在大量的GPO 中缩小搜索结果的范畴。
1.2. 在“搜索项”框中,选择“GPO 名称”,键入“Password”作为“值”,然后单击“添加”。
3. 在“搜索项”框中,选择“运算机配置”,选择“Security”作为“值”,然后单击“添加”。
4. 单击“搜索”。
结果应该如图4 所示。
图 4. 基于条件的GPO 搜索5. 在返回搜索结果后,您能够执行以下操作之一:•要打开GPO 进行编辑,请单击“编辑”。
•要储存搜索结果,请单击“储存结果”。
在“储存GPO 搜索结果”对话框中,指定储存结果的文件名称,然后单击“储存”。
•要扫瞄到在搜索中找到的某个GPO,请在搜索结果列表中双击该GPO。
•要清除搜索结果,请单击“清除”。
•要关闭“搜索组策略对象”对话框,请单击“关闭”。
确定GPO 的作用域只能通过正确地将GPO 应用于要治理的Active Directory 容器来实现组策略值。
确定哪些用户和运算机接收GPO 中的设置的过程称为“确定GPO 的作用域”。
确定GPO 作用域的过程基于三个因素。
•GPO 链接到的站点、域或OU 将GPO 中的设置应用于用户和运算机的要紧机制是,将GPO 链接到Active Directory 中的站点、域或OU。
链接GPO 的位置称为“治理作用域”或SOM(在前面的白皮书中也将其视为SDOU)。
SOM 共有三种类型:站点、域和OU。
可将一个GPO 链接到多个SOM,也能够将一个SOM 链接到多个GPO。
要应用某个GPO,您必须将其链接到SOM。
•GPO 上的安全选择默认情形下,位于链接了GPO 的SOM 及其子对象中的所有Authenticated Users(已授权用户)将应用GPO 中的设置。