组策略应用规则示例
一、在AD 中创建两个OU ,上层为OU1 ,下层为OU2 ,在OU2 中有一个用户USERA 。
1 ,在 OU1 中做组策略设置为从桌面删除回收站, OU2 为禁止访问控制面板。因为策略没有冲突,这时 USERA 为 OU1 和 OU2 的策略累加,即从桌面删除回收站,又禁止访问控制面板。
2 ,在 OU1 中做组策略设置为从桌面删除回收站和阻止访问命令提示符, OU2 为禁止访问控制面板和从桌面删除回收站(已禁用)。这时 OU1 和 OU2 的策略产生冲突,因为没有强制的设置,所以以后执行的 OU2 为准,那么 USER 为阻止访问命令提示符,禁止访问控制面板和从桌面删除回收站(已禁用)。
3 ,在 OU1 中做组策略设置为从桌面删除回收站和阻止访问命令提示符, OU2 为禁止访问控制面板,而 OU2 选择了阻止继承。这时的 USERA 为禁止访问控制面板。
4 ,在 OU1 中做组策略设置为从桌面删除回收站和阻止访问命令提示符, OU2 为禁止访问控制面板和从桌面删除回收站(已禁用),而这时的 OU1 设置了强制, OU2 设置了阻止继承。这时的 USERA 为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。因为 OU1 选择了强制,并且 OU1 和 OU2 还有冲突,这时强制为最高级,它会替换下层 OU2 中和它相冲突的策略。
二、在AD 中创建一个OU 为OU1 ,并在OU1 中创建一个USERB 。在OU1 中创建两个组策略分别为GP1 和GP2 ,并GP1 排列在GP2 的上边。
1 ,这时 GP1 的策略为从桌面删除回收站和阻止访问命令提示符,而 GP2 的策略为禁止访问控制面板,那么 USERB 为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。无冲突策略累加。
2 ,这时 GP1 的策略为从桌面删除回收站和阻止访问命令提示符,而 GP2 的策略为禁止访问控制面板和从桌面删除回收站(已禁用)时。因为 GP1 排列 GP2 的上边,那么最后 USERB 为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。因为 GP1 在 GP2 上边,下边的策略先执行,上边的策略后执行,还是后执行的为准原则,所以当 GP1 和 GP2 发生冲突时,以后执行的 GP1 为准!
n 计算机策略覆盖用户策略
n 不同层次的策略产生冲突时,子容器上的GPO 优先级高
n 同一个容器上多个GPO 产生冲突时,处于GPO 列表最高位置的GPO 优先级最高
n 不同层次的策略产生冲突时,如果上层容器有强制设置,那么强制优先级最高
一、在AD 中创建两个OU ,上层为OU1 ,下层为OU2 ,在OU2 中有一个用户USERA 。
1 ,在 OU1 中做组策略设置为从桌面删除回收站, OU2 为禁止访问控制面板。因为策略没有冲突,这时 USERA 为 OU1 和 OU2 的策略累加,即从桌面删除回收站,又禁止访问控制面板。
2 ,在 OU1 中做组策略设置为从桌面删除回收站和阻止访问命令提示符, OU2 为禁止访问控制面板和从桌面删除回收站(已禁用)。这时 OU1 和 OU2 的策略产生冲突,因为没有强制的设置,所以以后执行的 OU2 为准,那么 USER 为阻止访问命令提示符,禁止访问控制面板和从桌面删除回收站(已禁用)。
3 ,在 OU1 中做组策略设置为从桌面删除回收站和阻止访问命令提示符, OU2 为禁止访问控制面板,而 OU2 选择了阻止继承。这时的 USERA 为禁止访问控制面板。
4 ,在 OU1 中做组策略设置为从桌面删除回收站和阻止访问命令提示符, OU2 为禁止访问控制面板和从桌面删除回收站(已禁用),而这时的 OU1 设置了强制, OU2 设置了阻止继承。这时的 USERA 为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。因为 OU1 选择了强制,并且 OU1 和 OU2 还有冲突,这时强制为最高级,它会替换下层 OU2 中和它相冲突的策略。
二、在AD 中创建一个OU 为OU1 ,并在OU1 中创建一个USERB 。在OU1 中创建两个组策略分别为GP1 和GP2 ,并GP1 排列在GP2 的上边。
1 ,这时 GP1 的策略为从桌面删除回收站和阻止访问命令提示符,而 GP2 的策略为禁止访问控制面板,那么 USERB 为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。无冲突策略累加。
2 ,这时 GP1 的策略为从桌面删除回收站和阻止访问命令提示符,而 GP2 的策略为禁止访问控制面板和从桌面删除回收站(已禁用)时。因为 GP1 排列 GP2 的上边,那么最后 USERB 为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。因为 GP1 在 GP2 上边,下边的策略先执行,上边的策略后执行,还是后执行的为准原则,所以当 GP1 和 GP2 发生冲突时,以后执行的 GP1 为准!
n 计算机策略覆盖用户策略
n 不同层次的策略产生冲突时,子容器上的GPO 优先级高
n 同一个容器上多个GPO 产生冲突时,处于GPO 列表最高位置的GPO 优先级最高
n 不同层次的策略产生冲突时,如果上层容器有强制设置,那么强制优先级最高
n 总体原则:组策略无冲突时做累加,有冲突时后执行的优先级高,强制优先级最高
本文转自 nick_zp 51CTO博客,原文链接:http://blog.51cto.com/nickzp/1062870,如需转载请自行联系原作者
