组策略双生子:计算机配置 vs 用户配置

🖥️👤 就像酒店房间的固定设施与客人行李

🧩 基础概念三明治

计算机配置 → 房间本体

  • 生效对象:这台计算机就像酒店的标准间

  • 影响范围:无论谁入住(登录),电视位置/空调温度(系统设置)都固定不变

  • 部署场景:适合管理USB端口禁用、防火墙规则等硬件级设置

用户配置 → 客人物品

  • 生效对象:特定用户如同酒店VIP客人

  • 影响范围:无论入住哪个房间(登录哪台电脑),专属浴袍尺寸/枕头偏好(个性化设置)始终跟随

  • 部署场景:适合配置浏览器主页、Office模板等个人工作环境

⏰ 生效时机沙漏

配置类型

触发条件

策略应用节奏

计算机

开机自检时

每天早上的客房服务

用户

登录瞬间

客人刷卡进房的欢迎仪式

💡 特殊例外:某些用户策略如同需要重新铺床的深度清洁,必须重启才能完全生效

⚔️ 策略冲突仲裁法则

当两个配置像客人要求开窗与酒店禁止开窗时:
计算机配置优先原则 → 就像酒店管理规定总会覆盖客人临时需求

🧳 实战打包指南

禁用U盘最佳实践

  1. 新建名为「外设管制」的GPO

  2. 在「计算机配置」中设置USB限制

  3. 将该GPO拖放到财务部计算机所在的OU

  4. 重启财务部所有电脑 → 就像给电脑房门加上电子锁

密码策略特殊快递

🔐 这个策略如同酒店总钥匙,必须通过:

  • 专属渠道:Default Domain Policy

  • 操作步骤

    1. 组策略管理编辑器 → 默认域策略

    2. 计算机配置 → 策略 → 安全设置 → 账户策略

    3. 修改密码复杂度要求

⚠️ 警告:试图在其他GPO设置密码策略,就像给分店经理配总钥匙——系统会直接无视

🌰 生活化案例想象市场部的公用演示电脑:计算机配置:强制启用演示模式(自动隐藏任务栏)

  • 用户配置:为每位销售经理保留专属PPT模板
    当销售经理用自己的账号登录时,既能享受公用设备的统一设置,又能保留个人工作台

📜 冷知识:Windows Server 2022开始支持策略注释功能,就像给每个GPO贴便利贴说明~