在域中使用组策略

easy

在《取消关机理由(关闭事件跟踪程序)》、《删除关机,重新启动,睡眠和休眠命令》、《删除 IE 的”安全“ 与 ”连接“ 标签》 和 《隐藏控制面板中的防火墙》 这里介绍了本地组策略的几个应用实例。同样，在域中也能应用组策略。在域中，组策略可以针对站点，域或组织单位来进行设置，下面以常用的域与组织单位 进行说明。


现在，我们有一个 groad.net 域，如果针对该域来设置组策略，那么策略设置会被应用到域内的所有计算机 与用户，并包含组织单位”研发中心“内的计算机与用户（见下图），”研发中心“会继承域 groad.net 的策略设置：




如上图，也可以针对组织单位”研发中心“来设置组策略，此策略会应用到该组织单位内的所有计算机和用户。由于”研发中心“会继承从域 groad.net 来的策略，因此”研发中心“ 最后的有效设置是域策略加上”研发中心“的策略。

如果”研发中心“的策略设置与域 groad.net 的策略发生冲突，那么默认以”研发中心“的策略设置优先。

组策略是通过 GPO (Group Policy Object，组策略对象) 来设置的，只要将 GPO 链接 (Link) 到域 groad.net 或组织单位”研发中心“后，此 CPO 内的设置值就会被应用到域 groad.net 或组织单位”研发中心“内的所有用户与计算机。系统默认内置了两个 GPO，如上图中所示的 Default Domain Policy 与 Default Domain Controllers Policy （展开 Domain Controllers 后看到）。

Default Domain Policy

此 GPO 已经被连接到域 groad.net ，因此这个 GPO 内的设置值会被应用到域 groad.net 内的所有用户与计算机。

Default Domain Controllers Policy

此 GPO 已经被链接到组织单位 Domain Controllers （注意看，可以看到 Domain Controllers 的图标和 ”研发中心“ 是一样的，因此它是个组织单位），因此这个 GPO 内的设置值会被应用到 Domain Controllers 内的所有用户与计算机。Domain Controllers 内默认只有扮演域控制器角色的计算机。

下面将试验禁止研发中心里的用户运行 IE 浏览器：

为了达到这个目的，我们需要创建一个连接到组织单位”研发中心“的 GPO，并通过此 GPO 内的”用户配置“来禁止用户运行 IE 。

1. ”开始“ --> "管理工具” --> “组策略管理” ：



2. 展开到组织单位“研发中心”，右击，在弹出的菜单中选择“在这个域中创建 GPO 并在此处链接” ：

注意，上面还有内置的 GPO：Default Domain Policy 与位于组织单位 Domain Controllers 下的 Default Domain Controllers Policy 。不要随意更改这两个 GPO 的内容，以免影响到系统的正常运行。
另外，也可以选择上图中弹出菜单中的“阻止继承”，表示不要继承域 groad.net 的策略。也可以对着域 GPO (如 Default Domain Policy) 右击后选择“强制”，表示组织单位必须继承此 GPO 的策略，此时无论组织单位是否选择“阻止继承” 都无效。

3. 接下来，会看到弹出一个对话框，在其中为此 GPO 命名：



4. 对着新建的 GPO 右击，在弹出菜单中选择“编辑”：



5. 这时会看到弹出“组策略管理编辑器”，展开 “用户配置” --> "策略”  --> "管理模板“  --> ”系统" ，然后双击右边的“不要运行指定的 Windows 应用程序” ，接着点击“已启用”，再接着点击“显示”，然后在输入框中添加”iexplore.exe" ，最后确定返回：



现在我们在客户机上利用“研发中心”里已有的帐户 easy 来测试一下是否可以运行 IE 浏览器：


结果弹出“限制”提示框。