Monthly Archives: 四月 2013

以下文章摘自 http://alligator.blog.51cto.com/36993/107174 概述：     组策略是Win2003操作系统提供的一种重要的更新和配置管理技术，用来批量控制计算机和用户的环境，包括控制应用程序、系统设置和管理模板的一种机制。在AD域环境中，通过组策略可以对计算机和用户组进行高效集中化的管理。组策略是AD域环境最有吸引力的基础架构应用之一，正确高效组策略应用可以最大化提高工作效率，节约大量时间和精力。但如果部署了不正确的组策略，排错过程往往会使人抓狂。本文不涉及具体组策略部署方法以及如何排错案例，仅就AD域环境中客户机处理组策略的流程做一详细分析。相信正确理解和掌握组策略内部处理流程，会对组策略部署以及组策略排错有相当大的帮助和参考。   一：简述客户端计算机处理组策略流程     简单的说，客户机应用组策略的流程有以下几个步骤：        1：客户机启动，执行本地安全策略。        2：客户机连接到网络，查询DC获取要应用的GPO列表。        3：客户机根据GPO列表连接到Sysvol文件夹定位对应的组策略模板。        4：客户机根据组策略模板中信息执行相应的操作。        5：计算机策略执行完成后，出现登录界面，用户登录。        6：用户验证通过后，用户查询DC获取要应用的GPO列表。下面执行步骤与计算机执行步骤类似。         客户机组策略处理基本流程如上所述，其中忽略了某些可能性如：环回设置，同步/异步处理，安全组筛选，WMI筛选等，因对基本流程影响不大，此处略过。有兴趣请见后续文章。      上述流程并不复杂，但其中存在一些细节需要深入了解，也是自己当初学习组策略时一直存在的疑问。比如：         1：客户机如何从DC上获取要应用的GPO列表         2：客户机如何可以根据GPO列表，定位到Sysvol文件夹定位对应的组策略模板。         3：客户机如何可以正确的处理每个组策略设置         4：按MS说法,客户机与DC失去联系，客户机会使用本机缓存的组策略，那么组策略本地缓存保存在客户机什么位置？     下面就上述疑问做尽可能的分析，希望能给其他朋友带来参考，因有些结论是实验测试结果，可能会存在某些不当之处，如有异议，欢迎讨论!   二：客户机如何获取应用的GPO列表     我们知道,DC启动时，会向DNS宣告自己的角色，DNS服务器接受宣告后，更新DNS数据库中DC对应的资源记录。客户机登录时会联系DNS服务器，寻找适当的DC进行身份验证。验证通过后，DC告诉客户机所属的站点信息，域信息，以及OU信息。客户机获取到这些信息后，就可以查询到正确的GPO列表。之所以拥有站点，域，OU信息后就可以获取GPO列表信息，主要是因为站点，域和OU对象的gPlink属性中保存有GPO链接信息。     … Continue reading →