http://support.microsoft.com/kb/231287/zh-cn
組策略以某種方式應用於用戶或計算機,而這種方式取決於用戶和計算機對象位於 Active Directory 中的什麼位置。 但在某些情況下,用戶可能需要僅根據計算機對象的位置來應用策略。 要想僅根據用戶登錄到哪個計算機來應用組策略對象 (GPO),可以使用組策略環回功能。
要設置每臺計算機的用戶配置:
在“組策略”Microsoft 管理控制檯 (MMC) 中,單擊計算機配置。
找到管理模板,然後單擊系統,再單擊組策略,然後啓用環回策略選項。
該策略將指示系統把該計算機的 GPO 集合應用於登錄到受該策略影響的計算機的所有用戶。 該策略特別適用於特殊用途的計算機,在這些地方,必須根據使用的計算機來修改用戶策略,例如,位於公共場合、實驗室和教室中的計算機。
備註: 只有純粹基於 Windows 2000 的環境下才支持環回功能。 計算機帳戶和用戶帳戶都必須位於 Active Directory 中。 如果其中某個帳戶是由 Microsoft Windows NT 4.0 域控制器管理的,那麼,環回將無效。 客戶端計算機必須是 Windows 2000 計算機。
當用戶在自己的工作站上工作時,可能希望根據用戶對象的位置來應用組策略設置。 因此,建議您以用戶帳戶所在的組織單元 (OU) 爲單位來配置策略設置。 但是,有可能出現這樣的情況:計算機對象駐留在指定的 OU 中,而且根據計算機對象而不是用戶對象來應用策略中的用戶設置。
根據正常的組策略處理過程的指定,OU 中的計算機是在計算機啓動期間按順序來應用 GPO 的。 而 OU 中的用戶則是在登錄期間按順序來應用 GPO 的,這與他們登錄的是哪個計算機無關。
某些情況下,該處理順序可能是不合適的,例如,一些應用程序已被指派或發佈給在某些 OU 中的用戶,但當他們登錄到在某個特定 OU 中的計算機時,您並不想讓這些應用程序安裝在該計算機上。 使用組策略環回支持功能,可以指定採用其它方式來爲這個特定 OU 中的計算機的任何用戶檢索出針對他們的 GPO 列表,這些方式包括:
合併模式
在該模式中,當用戶登錄時,將通過使用 GetGPOList 函數正常收集用戶的 GPO 列表。 然後,再次調用 GetGPOList 函數,在這次調用中使用計算機在 Active Directory 中的位置。 然後,計算機的 GPO 列表被添加到用戶 GPO 的末尾。 這將導致計算機的 GPO 具有比用戶的 GPO 更高的優先權。 在該例中,計算機的 GPO 列表被添加到了用戶的列表中。替代模式
在該模式中,不收集用戶的 GPO 列表。 只使用基於計算機對象的 GPO 列表。