策略的执行顺序:
(1) 本地、(2) 站点、(3) 域、(4) OU。后应用的策略优先级高于先应用的策略优先级。
如果某台计算机属于某一域,在域和本地计算机策略之间存在冲突时,则域策略有效。
如果某台计算机不再属于某一域,则应用本地组策略。
通常在域的管理中,都是通过OU来细化策略的指派。
OU是一个容器,可以包含用户、计算机。通过对OU的权限指派,可以实现各种不同目的的应用。
一个指派“禁用MESSENGER服务”的实例:
1. 启动 Active Directory 用户和计算机。
2. 右键单击要添加 OU 的域,单击新建,然后单击组织单元。
3. 为该 OU 设置一个适当的名称,然后单击确定。
4. 右键单击新键的 OU,然后单击属性。
5. OU 属性将显示出来。在组策略选项卡上,单击新建。为新的“组策略”取一个适当的名称
(如:Disable Messenger Service)。
6. 创建该策略后,确保选中该策略,然后单击编辑。
7. 依次单击计算机配置、Windows 设置、安全设置、系统服务。
8. 双击要应用这些权限的服务,这里为Messenger服务。
9. 单击选中定义这个策略设置复选框。此操作将自动创建 Everyone 均具有“完全控制”权限的安全权限。
10. 单击删除以删除 Everyone 组。
11. 单击添加以添加 System 帐户以及要向其授予访问权限的其他用户帐户。
12. 将 System 帐户的权限设为“完全控制”,并为用户帐户或组设置相应的权限。默认情况下,所有新用户只会被授予启动、停止和暂停权限。
13. 向适当的用户和组添加对该服务的适当的权限之后,单击确定。
14. 该服务的启动模式默认设为“禁用”。
15. 单击确定以关闭该策略,然后再次单击确定。
16.将需要应用这个策略的计算机帐户或用户移入到此OU中,就可以对指定用户或计算机应用这个策略了。