23、高级组策略处理与组策略首选项全解析

高级组策略处理与组策略首选项全解析

1. 跨林信任相关问题

在跨林信任环境中，客户端机器的应用程序事件日志会生成事件 ID 1109，提示用户来自不同的林。跨林信任会带来两个主要情况：
- 对于通过跨林信任使用计算机的用户，回环替换处理会开启。
- 对于通过跨林信任使用计算机的用户，漫游用户配置文件会被禁用。

若想恢复“正常”行为，可按以下步骤操作：
1. 找到“允许跨林用户策略和漫游用户配置文件”策略设置。路径为：计算机配置 -> 策略 -> 管理模板 -> 系统 -> 组策略。该策略虽标注“至少 Windows Server 2003”，但也会影响 Windows XP/SP2 及后续版本的机器。
2. 创建一个组策略对象（GPO），并将其链接到想要恢复“正常”的计算机。

不过，这样做会降低系统安全性，因为你无法知晓“其他管理员”为用户设置了什么，用户可能会在客户端机器上运行恶意程序或脚本。

Windows 跨林信任有两种模式：林范围身份验证和选择性身份验证。查看该设置的步骤为：打开“Active Directory 域和信任关系”，找到信任关系的属性，点击“身份验证”选项卡。

在 Windows 2003（或更高版本）的 Active Directory 域中，完全身份验证模式允许所有用户通过跨林信任登录到“对方的计算机”。例如，Sol 是 Corp.com 的 SQL 数据库管理员，他每周会在 Widgets.corp.com 的 WIDGETS - WIN8 机器上进行 CAD 工作。但如果 Corp.com 的域管理员为防止来自 bigu.edu 的攻击而启用选择性