解释概念:用户账户;组账户;计算机账户;组策略;组织单元(OU)
在部署策略时,遇到了冲突。同事都不明白是怎么回事?U Y a Z这是因为组策略有优先级,你要记住这些规则:计算机策略覆盖用户策略;不同层次的策略产生冲突时,子容器上的gpo优先级高;同一容器上多个gpo产生冲突时,处于gpo列表最高位置的gpo优先级最高。总体原侧就是:后执行的优先级高。这样,处理方法是:变更组策略的应用顺序;阻止继承;强制(禁止替代);避免变更应用顺序。为了更好的理解,我在这里列举一个例子一起分析一下。部署组策略时遇到冲突,如何调整要根据实际情况进行分析。由于你没有说明是在什么情况下部署的组策略。那么我要分几个情况来讲述。如果对计算机和对用户的组策略发生冲突,则在缺省情况下,针对计算机的组策略优先;如果是本地组策略和域中组策略发生冲突,那么就要分析一下:如果是域环境下是是域安全策略生效,如果是本地用户登录,则是本地安全策略起作用。由此我们知道了这个问题的实质就是优先级的高低。本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象,而且它有一个在非本地组策略对象中可用的设置子集。如果二者的设置发生冲突,非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突,则都可以应用。 _7Q4X U-n7b W(T假设我们以配置用户桌面上有无“网上邻居”图标这一策略项为例来分析组策略冲突时的生效级别。"I l4r } |/v一、同一ou上多个组策略我们先在“active directory用户和计算机”中新建一个ou(组织单元)“1”,并在其中新建一个用户“lzy”。然后我们给“1”这个ou建立两个组策略:一个命名为“有‘网上邻居’”,并对其进行配置,停用“隐藏桌面上的‘网上邻居’图标”这一项目;另一个命名为“无‘网上邻居”’,并对其进行配置,启用“隐藏桌面上的‘网上邻居’图标”这一项目。"C Q1c'` j kH _$B L当这两个互相存在冲突的策略同时作用于 ou“1”时,以排在最上面策略为准(策略由下而上执行,以最后执行的为准)。即用户chen登录时桌面上还是有“网上邻居”图标的。4{/o.@ `5^+B j ~/M t如果我们对排列在下的“无‘网上邻居”’策略设置了“禁止替代”,或者两者都设置了“禁止替代”,则以排在下面的“无‘网上邻居’”为准,即ou“1”中的用户lzy登录时桌面上将没有“网上邻居”图标。其原因是“禁止替代”具有强行执行的效力,并且,依据“禁止替代的权限不可下降”的原则,先执行的“不可替代”项目将屏蔽掉其后执行的“禁止替代”项目。二、父ou和子ou在域上新建ou“2”,并
目录服务:
网络上,特别是互联网中有各型各类的主机,有各种各样的资源, 这些东西杂散在网络中, 需要有一定的机制来访问这些资源, 得到相关的服务, 于是就有了目录服务.早期的目录服务主要是提供文件检索, NOVELL就是广为使用的目录服务器系统; 随着互联网的发展, 网站的定位又成了难题, 于是有了DNS服务,它也是典型的目录服务,即帮你做域名与IP地址之间的转换. 楼上说的NETMEETING, 也是目录服务器的服务内容之一, 对NetMetting来说,其目录服务器主要是帮助定位用户状态信息的.
活动目录:活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。
域:网络中的域是一个应用的范围,在这个范围内的用户有一定的访问权限而不在域中的用户会受到域权限的控制而不能访问一些东西
OU:OU(Organizational Unit,组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。通俗一点说,如果把AD比作一个公司的话,那么每个OU就是一个相对独立的部门。
用户配置文件:用户配置文件就是在用户登录时定义系统加载所需环境的设置和文件的集合。它包括所有用户专用的配置设置,如程序项目、屏幕颜色、网络连接、打印机连接、鼠标设置及窗口的大小和位置。
本地域组:具有本地域作用的组的使用范围是本域。通常是针对本域的资源创建本地域组。本地域组具有所属域的访问权限,以便访问本域的资源。本地域组的成员可以是同一个域的本地域组,也可以是任何域内的账户、全局组和通用组,他们能访问的资源只是该本地域组所在域的资源。
全局组:全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组,可以访问任何一个域内的资源。
通用组:通用组的使用范围是整个林和信任域。通用组可以访问任何一个域内的资源,通用组可以包含所有域内的用户账户、全局组和通用组。
组账户:各个用户归属的组,比如说administrator组,还有poweruser组等,各个组的权限是不一样的
计算机账户:也可以说是计算机名称,在局域网中用来识别计算机
组策略:设置定义了系统管理员需要管理的用户桌面环境的多种组件.
组织单元(OU):局域围网的域中,一个组织单元OU是把对象组织成逻辑管理组的容器,其中包括一个或多个对象,如用户账号、组、计算机、打印机、应用、文件共享或其他OU等。
这是我个人认为的比较专业的回答~嘿嘿~
答:用户账户:进入系统的用户名,这是通俗的说法.组账户:各个用户归属的组,比如说administrator组,还有poweruser组等,各个组的权限是不一样的 计算机账户:也可以说是计算机名称,在局域网中用来识别计算机 组策略:设置定义了系统管理...
答:新建用户、计算机、组都是为了方便管理者管理,但是又有不同。用户主要是针对移动性比较大的用户设置,无论他到本域中的哪里使用计算机,只要用得是同一个账号,就使用的是相同的权限和设置。计算机针对的是比较固定的计算机...
答:用户帐户定义了用户可以在 Windows 中执行的操作。在独立计算机或作为工作组成员的计算机上,用户帐户建立了分配给每个用户的特权。在作为网络域一部分的计算机上,用户必须是至少一个组的成员。授予组的权限和权利也会指派给其...
答:属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员账号Administrator就是本地组的成员,而且无法将它从该组删除。如果这台计算机...
答:用户账户 用户账户是用来记录用户的用户名和口令、隶属的组、可以访问的网络资源,以及用户的个人文件和设置。每个用户都应在域控制器中有一个用户账户,才能访问服务器,使用网络上的资源。用户名,是网络术语之一。就是要...
答:<Guest>这个是来宾访问用户.实用与企业管理..一般家用电脑不需要.来宾.就是给于只能运行游戏,或者程序,的权限...就算你不在来宾身边,它也不能乱来. 组:几个用户组建一个组,他们可以相互访问。同时组也影响到整个网络用户...
答:全名就是一个注释;组决定了用户的权限:计算机上 System 组的权限最高,用户中 Administrators 组的权限最高,Users 组居中,Guests 组最低。根据权限的逐渐降低,用户可访问的文件、可更改的设置会减少。系统设置要求管理员...
答:本地用户账户:本地用户和组Microsoft管理控制台 (MMC) 管理单元中的用户文件夹显示默认的用户账户以及您创建的用户账户。这些默认的用户账户是在安装操作系统时自动创建的。用户账户为用来记录用户的用户名和口令、隶属的组、...
答:每个用户账户又可添加到组以控制指派给账户的权限添加用户账户①在"Active Directory用户和计算机"控制台树中,右键单击要添加用户的域、组织单位或其他容器(通常是Users),从快捷菜单中选择【新建】>【用户】命令。② 打开【新建对象-用户...
答:计算机上的用户是指本计算机的操作者。一台计算机可以创建多个不同的用户,这样可以由各个用户按照自己的风格习惯来设置自己的桌面或者是使用程序,以适应自己的操作。或者是还可以在创建新用户的同时通过设置用户登陆密码来保护...
