组策略应用规则示例
一、在AD中创建两个OU,上层为OU1,下层为OU2,在OU2中有一个用户USERA。
1,在OU1中做组策略设置为从桌面删除回收站,OU2为禁止访问控制面板。因为策略没有冲突,这时USERA为OU1和OU2的策略累加,即从桌面删除回收站,又禁止访问控制面板。
2,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板和从桌面删除回收站(已禁用)。这时OU1和OU2的策略产生冲突,因为没有强制的设置,所以以后执行的OU2为准,那么USER为阻止访问命令提示符,禁止访问控制面板和从桌面删除回收站(已禁用)。
3,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板,而OU2选择了阻止继承。这时的USERA为禁止访问控制面板。
4,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板和从桌面删除回收站(已禁用),而这时的OU1设置了强制,OU2设置了阻止继承。这时的USERA为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。因为OU1选择了强制,并且OU1和OU2还有冲突,这时强制为最高级,它会替换下层OU2中和它相冲突的策略。
二、在AD中创建一个OU为OU1,并在OU1中创建一个USERB。在OU1中创建两个组策略分别为GP1和GP2,并GP1排列在GP2的上边。
1,这时GP1的策略为从桌面删除回收站和阻止访问命令提示符,而GP2的策略为禁止访问控制面板,那么USERB为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。无冲突策略累加。
2,这时GP1的策略为从桌面删除回收站和阻止访问命令提示符,而GP2的策略为禁止访问控制面板和从桌面删除回收站(已禁用)时。因为GP1排列GP2的上边,那么最后USERB为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。因为GP1在GP2上边,下边的策略先执行,上边的策略后执行,还是后执行的为准原则,所以当GP1和GP2发生冲突时,以后执行的GP1为准!
n 计算机策略覆盖用户策略
n 不同层次的策略产生冲突时,子容器上的GPO优先级高
n 同一个容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高
n 不同层次的策略产生冲突时,如果上层容器有强制设置,那么强制优先级最高
n 总体原则:组策略无冲突时做累加,有冲突时后执行的优先级高,强制优先级最高
组策略应用规则示例
原创
©著作权归作者所有:来自51CTO博客作者nick_zp的原创作品,请联系作者获取转载授权,否则将追究法律责任
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
AD 组策略 | 服务器管理 | 组策略计算机配置
上一篇介绍组策略是 Windows AD 活动目录中的一项管理功能,用于在网络中集中管理计算机和用户的配置。组策略允许系统管理员通过定义规则和设置,对计算机和用户的行为进行控制。其中,计算机配置和用户配置两个关键功能。今天我们以计算机配置为例进行操作展示。想想关于计算机配置里面的所有配置项在200左右(这个回头我可以统计下),统一管理成千上万台客户端和服务器。那效率咋样? - **系统级设置:** 计算机配置允许我们定义适用于整个计算机的设置。包括安全设置、脚本执行、网络设置等。 - **软件部署:** 我们可以使用计算机配置来部署软件和应用程序,确保特定计算机上安装了所需的软件。
AD 组策略管理 AD GPO 配置 AD 域策略 域策略计算机配置 组策略管理