本地安全策略和组策略的区别在于它们的作用范围不同。本地安全策略是针对单个计算机或用户账户进行的安全策略设置,而组策略是一种在组织范围内设置安全策略的方式。
本地安全策略可以在本地计算机上进行设置,而组策略可以通过组织管理员在服务器上进行设置,以控制整个组织范围内的计算机、用户账户、文件夹、打印机等资源的安全性。
区别如下供参考:
本地安全策略(优先级低):主要应用于当前计算机。
组策略(优先级高):可以应用于当前计算机,也可以应用于域中的其他计算机。
组策略对象
GPO(Group Policy Object):组策略的实现形式,它是一个链接,它当中存在很多不同的组策略。它存储组策略的所有配置信息,AD中的一种特殊对象。
存在两个默认GPO
默认域策略
本地安全策略与默认域策略(组策略)冲突时,以默认域策略优先,本地设置无效。
本地计算机何时会应用在域管理内有变动的设置:
本地安全策略有变动时;
本地计算机重启时;
DC每5分钟自动应用;
不是DC每隔90-120分钟会自动应用;
所有计算机每隔16小时强制应用,即使无更改。
手动应用域策略:在CMD窗口,使用“gpupdate”或“gpupdate /force”命令。
默认域控制器策略
只影响位于Domain Controllers(DC)内的域控制器,不影响其他组织单元(OU)或容器内的计算机和用户。
所有位于DC内的DC都会受到域控制器安全策略的影响。
默认域策略与域控制器安全策略冲突时,对于DC来说默认域控制器策略优先,域安全策略无效。
GPO链接
GPO链接,只能链接到站点、域、OU。
站点的概念:
活动目录中的站点是从物理上抽象的概念;
有一个或几个通过高速链路链接在一起的IP子网组成。
站点和域的关系:
一个站点中可以有多个域
一个域中可以有多个站点
站点的主要作用:
优化复制
使用户能够使用可高、高速的链接登录到域控制器上
域内的策略
在域中可以针对站点、域或组织单元来设置组策略,其中域组策略内的设置会被应用到域内所有计算机与用户,而且组织单元的组策略会被应用到该组织单元内的所有计算机与用户。
对于加入到域的计算机来说,如果两个有冲突,以域或组织单元组策略的设置优先,本地策略无效。本地组策略编辑器的打开方式:运行gpedit.msc命令。
创建组策略
组策略内的设置分为:策略、首选项。
二者的区别
只有域内的组策略才有首选项功能,本地计算机策略无此功能。
首选项非强制性,客户端可更改设置,策略设置是强制性,客户端无法更改。
策略设置若要在客户端发生作用,客户计算机的操作系统或应用程序必须支持组策略,首选项不需要。
若要筛选策略设置,必须整对整个GPO来筛选,而首先项可以针对单一设置项目来设置。
PS:查看当前用户应用了哪些策略,在命令提示符窗口中使用命令“gpresult /v”
