組策略管理難點之應用控制

　 在域環境中，組策略為我們網絡管理員提供了一個很好的網絡管理平台，大大提高了我們網路管理的效率與安全性。不過，組策略強調的是一個統一的安全管理策略。為了達到這個目標，光用組策略還是不行的，需要一些組策略應用的控制手段，才能夠達到這個目標。下面，筆者就為大家說說在域控制器的組策略管理平台中，提供了哪些組策略的管理工具，以及這些工具在什麼時候使用可以達到事半功倍的效果。

　　一、 強制使用組策略

　　我們在配置組策略的時候，往往具有共性與個性的區別。如一些共性的設置，我們希望企業內部不分老幼都必須遵守。如我們可以通過組策略實現當主機加入到域中時必須自動安裝殺毒軟件的客戶端並自動升級;如我們還可以通過組策略限制用戶端修改IP地址等等。這些對於企業網絡來說，是一些共性的內容。我們雖然在分組的時候，按部分分組，分了銷售部門OU、采購部麼OU等等，但是，這些共性的內容我們希望這些OU都遵守。

　　但是，在上篇文章中，筆者也談到了一些例外。如對於“禁止用戶修改IP地址”這個組策略，若在下面的子OU中，若沒有對這個組策略配置過，則其會繼承這個組策略。但是，若其配置過這個組策略，把這個策略配置成“允許用戶修改IP地址”，則一般情況下，這個配置值就會覆蓋上級傳遞下來參數。這是我們不希望看到的。

　　遇到這種情況我們該如何呢?在域控制器的組策略應用中，提供了一個“強制策略繼承”的選項。若我們在配置組策略的過程中，選中這個選型的話，則無論下面的容器是否對這個組策略配置過，域控制器會強制的讓子OU繼承父OU的選項。官方資料時這麼定義強制策略繼承的，強制策略繼承是指可以在父容器中通過組策略的“禁止替代”選項強制子容器必須繼承(不准覆蓋)此組策略內的組策略設定，而不論子容器是否設置了阻止策略繼承。

　　通過這個定義，我們可以明白以下幾點內容。

　　一是這個“禁止替代”選項，是針對具體的組策略而言的，而不是應用在OU上的所有組策略。如現在有個父OU叫管理人員，在這個OU上我們配置了5個組策略。然後，若網絡管理員認為其中的兩個組策略比較具有共性，需要下面的所有人員都遵守，如此的話，就可以把這兩個組策略設置為“禁止替代”。則下面的子OU只有這兩個組策略不能覆蓋，另外的三個組策略仍然可以通過更改子OU的配置而實現覆蓋。

　　二是“禁止替代”選項對於“阻止策略繼承”也仍然有效。也就是說，我們在子OU中，設置了“阻止策略繼承”選項，組策略仍然以子OU的配置值為准，即使沒有配置，也才用默認的值，而不采用父OU的組策略配置。但是，我們若在父OU的某個組策略中，選中了“禁止替代”的值，則域控制器在組策略應用的時候，就會忽略子OU中的“阻止策略繼承”選項，而直接把父OU的組策略配置傳遞給子OU。當然，這也是針對特定的組策略而言，而不是指應用在父OU上的所有組策略。