我们知道用户在登录域客户端的时候，会去应用组策略，那么这个过程究竟是怎样去完成的呢？大体上可以分为两步，第一步是验证过程；验证通过后，客户端会去找DC查询需要应用哪些组策略，然后一一应用。下面我们就来一探究竟：

1.      客户端查找DC并进行身份验证

1)      客户端通过自身的netlogon服务，去向DNS服务器查找域内的PDC、GC、KDC、LADP等SRV记录；先查询站点内的前述记录，若无，则查找全局内的上述记录。

2)      查找到相关记录之后，DNS会按照优先级和权重排序返回各项记录，客户端会按照先后顺序去连接第一个服务器的LDAP协议的389端口；若第一个不响应，则去连接第二个。

3)      直到某一个DC响应后，客户端检查DC是否有其需要的相关信息。如果有，客户端开始登陆，哪个DC先响应请求，客户端就找其做身份验证。

4)      客户端缓存DC的相关信息，以便在下次登录的时候直接使用。

以上是客户端查找DC验证的过程，实际上，在验证过后，顺带就会去应用组策略，那么组策略究竟是按照怎样的顺序和原则去应用的呢？

2.      应用组策略过程

1)      我们知道DC启动时，会向DNS宣告自己的角色，DNS服务器接受宣告后，更新DNS数据库中DC对应的资源记录。

2)      客户机登录时会联系DNS服务器，寻找适当的DC进行身份验证，过程如上所述。验证通过后，DC告诉客户机所属的站点信息，域信息，以及OU信息。

3)      客户机获取到这些信息后，就会找到相应的域控，会检查它所在的OU中链接了哪些组策略，就可以查询到正确的GPO列表。并去检查每一个GPO的最新版本，这部分数据存储在AD数据库的GPC数据中。

4)      客户端知道自己应该去应用哪些组策略，并且知道这些组策略的最新版本后，就会去查找GPO的GPT部分，即每一条组策略的配置信息部分。这部分数据存储在默认域共享的sysvol文件夹中。然后根据Unique ID 找到Sysvol文件夹定位对应的组策略模板。根据组策略模板中信息检查设定了哪些策略，检测到了就执行相应的操作。

5)      当客户端拿到组策后，其实它不是下载到本地，而是当客户端检测到该组策略后，就会将相应的配置写到相应的注册表中，即组策略生效了。如果没有权限的客户端，就不会将更改或配置写进注册表。

6)      以上是客户端去查找组策略并且去应用组策略的整个过程。

3.      组策略的应用顺序

组测策略执行的顺序是本地组策略-->站点-->域--> OU。简单的说，客户机应用组策略的流程有以下几个步骤：

1)      客户机启动，执行本地安全策略。

2)      客户机连接到网络，查询DC获取要应用的GPO列表。同样是按照站点-->域--> OU这样的一个顺序。

3)      客户机根据GPO列表，连接到Sysvol文件夹定位对应的组策略模板。

4)      客户机根据组策略模板中信息执行相应的操作，即将组策略中的配置写入客户端自身的注册表中。

5)      计算机策略执行完成后，出现登录界面，用户登录。

6)      用户验证通过后，用户查询DC获取要应用的GPO列表。下面执行步骤与计算机执行步骤类似。