22、组策略环回处理与跨林信任详解

组策略环回处理与跨林信任详解

组策略环回模式

组策略环回处理有两种模式，分别为合并模式（Merge Mode）和替换模式（Replace Mode），下面将详细介绍这两种模式。

组策略环回 - 合并模式

当计算机处于组策略环回 - 合并模式时，组策略对象（GPO）在启动（以及后台刷新时）会按照正常方式处理：依次为站点、域和每个嵌套组织单元（OU）的计算机节点。用户登录后，针对该用户的策略设置也会按正常方式应用：处理来自站点、域和每个嵌套 OU 的所有 GPO。

但在这种模式下，系统会确定计算机账户的位置，并应用另一轮用户节点设置，即所有指向该计算机的 GPO 中包含的用户节点设置。这意味着登录用户会受到两组不同的用户节点策略设置的影响，具体时间线如下：
1. 计算机启动，获取相应的计算机节点策略设置。
2. 用户登录，获取相应的用户节点策略设置。
3. 计算机“扮演”用户角色，所有用户节点策略设置应用于计算机。

最终结果是，用户账户的用户设置和计算机（临时充当用户）的用户设置具有同等地位，除非两者重叠，此时计算机设置通常优先。当需要按计算机修改用户配置文件中的属性时，组策略环回 - 合并模式会很有用。

组策略环回 - 替换模式

当计算机处于组策略环回 - 替换模式时，组策略在启动（以及后台刷新时）同样按正常方式处理计算机节点。但用户登录后，针对该用户的 GPO 在整个策略处理链中会被完全忽略。相反，计算机“扮演”用户角色，系统会确定计算机账户的位置，并应用所有指向该计算机的 GPO 中的用户节点设置。这样一来，所有用户都必须遵循基于计算机的用户设置。