在组策略管理器中，有两个GPO对象是预先创建的

Default Domain Policy是整个域用户的组策略

Default Domain Controller Policy是域服务器的组策略

连接是把GPO连接到域的那个级别，就像调用一个对象一样

安全筛选是把特定用户或组加入进来进行过滤筛选

WMI筛选时通过SQL语句进行筛选

select * from Win32_OperatingSystem where version like "6.1%" and ProductType="1"

GPO状态可以设置用户配置或计算机配置配置应用

Starter GPO是创建GPO的模板

GPO与普通的本地组策略有一定的区别

在GPO中有计算机配置和用户配置

计算机配置优先于用户配置，当计算机配置与用户配置互相冲突时会优先选择计算机配置

策略组是管理用户计算机的本地计算机权限，可以防止用户使用u盘拷贝文件

windows在域中可以策略设置或首选设置，策略设置时强制性的设置，首选设置时非强制的设置。

策略组设置后不会立即应用

计算机配置的应用时限：

计算机开机时会自动应用

域控制器：默认每隔5分钟一次

非域控制器：默认每隔90-10分钟一次

无论策略设置是否有变动，系统任然会每隔16个小时自动一次安全性配置

手动应用：gpupdate /target:computer /force

用户配置的应用时限

用户登录时自动应用。

若用户已经登录的话，则系统默认会每隔90-120分钟之间自动应用一次，而且不管策略组设置是否有变动

手动应用：gpupdate /target:user /force

运行gpupdate /force 会同时应用计算机与用户配置，有部分的配置需要重新启动计算机，例如软件安装策略域文件夹重定向策略。

在域中，策略组可以分组管理，比如一个部门在同一个组里，另一个部门在另一个组里在组策略中勾选即使尚未更改组策略对象也进行处理