企业官网建设流程全解析

Windows Vista 组策略对象（GPO）全面解析

1. 组策略基础

组策略（GPO）分为两部分：
- 计算机配置部分（Computer Configuration）
- 用户配置部分（User Configuration）

2. 在 AD 环境中应用 GPO 到计算机和用户

2.1 计算机启动过程

当计算机启动时，会按照以下步骤应用 GPO：
1.“L”阶段（本地设置加载）：计算机开启后，从本地硬盘读取组成注册表和本地计算机策略（LCP）的所有本地设置，并将其加载到 RAM 中。可以把这个注册表的 RAM 副本看作是本次计算机会话的“活跃大脑”。
2.“S”阶段（站点级 GPO 应用）：由于计算机是 Active Directory 的成员，它会联系其所在域的域控制器，并对其计算机账户进行身份验证。然后，将其 IP 地址与 AD 站点中配置的 IP 子网进行比较，以确定计算机当前所在的站点。接着，计算机下载并读取当前所在站点的所有 GPO，并仅将这些 GPO 的计算机配置部分应用到计算机的注册表 RAM 副本中。如果站点级设置与任何本地设置冲突，站点级设置将覆盖本地设置。
3.“D”阶段（域级 GPO 应用）：计算机下载并读取其所属域的所有 GPO，并仅将这些 GPO 的计算机配置部分应用到计算机的注册表 RAM 副本中。默认情况下，如果任何域级设置与本地或站点级设置冲突，域级设置将覆盖本地和站点级设置。
4.“OU”阶段（组织单位级 GPO