组策略应用规则示例
一、在AD中创建两个OU,上层为OU1,下层为OU2,在OU2中有一个用户USERA

1,在OU1中做组策略设置为从桌面删除回收站,OU2为禁止访问控制面板。因为策略没有冲突,这时USERAOU1OU2的策略累加,即从桌面删除回收站,又禁止访问控制面板。

2,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板和从桌面删除回收站(已禁用)。这时OU1OU2的策略产生冲突,因为没有强制的设置,所以以后执行的OU2为准,那么USER为阻止访问命令提示符,禁止访问控制面板和从桌面删除回收站(已禁用)。

3,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板,而OU2选择了阻止继承。这时的USERA为禁止访问控制面板。

4,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板和从桌面删除回收站(已禁用),而这时的OU1设置了强制,OU2设置了阻止继承。这时的USERA为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。因为OU1选择了强制,并且OU1OU2还有冲突,这时强制为最高级,它会替换下层OU2中和它相冲突的策略。

二、在AD中创建一个OUOU1,并在OU1中创建一个USERB。在OU1中创建两个组策略分别为GP1GP2,并GP1排列在GP2的上边。

1,这时GP1的策略为从桌面删除回收站和阻止访问命令提示符,而GP2的策略为禁止访问控制面板,那么USERB为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。无冲突策略累加。

2,这时GP1的策略为从桌面删除回收站和阻止访问命令提示符,而GP2的策略为禁止访问控制面板和从桌面删除回收站(已禁用)时。因为GP1排列GP2的上边,那么最后USERB为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。因为GP1GP2上边,下边的策略先执行,上边的策略后执行,还是后执行的为准原则,所以当GP1GP2发生冲突时,以后执行的GP1为准!

n 计算机策略覆盖用户策略
n 不同层次的策略产生冲突时,子容器上的GPO优先级高
n 同一个容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高
n 不同层次的策略产生冲突时,如果上层容器有强制设置,那么强制优先级最高
n 总体原则:组策略无冲突时做累加,有冲突时后执行的优先级高,强制优先级最高