如何在Windows Server 2008域中设置组策略？

听起来在开始进行更改之前，最好先获取有关组策略的背景信息 。 有关Active Directory的一些背景信息也可能对您有所帮助。

我强烈build议不要修改默认情况下在Active Directory中创build的“默认…”组策略对象（GPO）。 您可以创build包含自定义设置的自己的GPO。 通过将这些设置保留为默认状态，您可以创build一种情况，禁用所有自定义GPO并将所有设置恢复为默认状态。

要回答您的特定查询（重复TechNet所说的风险）：

“默认域策略”是在创buildActive Directory域时创build的GPO，其中包含默认情况下应用于域中所有计算机和用户帐户的设置。 （在单个OU上使用“块inheritance”function允许覆盖此行为，但这更多是一个高级主题。）此GPO的主要默认设置是域密码策略。 此设置控制与用户帐户locking和用户密码（长度，复杂度，到期，重复使用）相关的参数。

“默认域控制器策略”是在创buildActive Directory域期间创build的另一个GPO。 它包含仅适用于域控制器（DC）计算机（即承载Active Directory数据库副本并执行身份validationfunction的计算机）的设置。 在Windows 2003和更新的Windows版本中，GPO出现的主要默认设置是限制数据中心与支持数字签名的服务器消息块（SMB）数据包的客户端通话。 这个设置的目的是增加安全性。

有关用户或计算机如何应用组策略的具体细节。 但是，一般情况下，组策略对象按照遇到的顺序应用，从域的顶部开始，然后通过OU继续到计算机对象。 考虑到GPO之间的“优先”或“冲突”，我可以考虑的最简单的方法是想象在遇到每个GPO时应用所有设置，“有效”设置是应用于给定项目的最后一个设置。

例如：在域中链接的GPO将计算机的“脱机文件”function设置为“已启用”。 另一个GPO在计算机对象所在的OU处链接，将“脱机文件”function设置为禁用。 由于要应用的最后一个GPO应该是链接到计算机对象所在的OU的GPO，因此计算机的“有效设置”将使“脱机文件”处于禁用状态。

“Block Inheritance”和“No Override”function增加了复杂性和强大的function。 WMI过滤，安全组过滤和环回策略处理也增加了很多额外的复杂性，值得学习。 但是，我不build议您了解这些function，直到您对产品的一般行为有良好的背景为止。

这两个策略对于它们链接到的OU内的对象都是有效的。 通常，默认域控制器策略仅适用于域控制器（您应该在该OU中看到您的域控制器。

默认域策略链接到域树顶部。 要对所有计算机进行更改，请使用默认域策略或添加新策略。