组策略应用规则示例
一、在AD中创建两个OU,上层为OU1,下层为OU2,在OU2中有一个用户USERA。
1,在OU1中做组策略设置为从桌面删除回收站,OU2为禁止访问控制面板。因为策略没有冲突,这时USERA为OU1和OU2的策略累加,即从桌面删除回收站,又禁止访问控制面板。
2,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板和从桌面删除回收站(已禁用)。这时OU1和OU2的策略产生冲突,因为没有强制的设置,所以以后执行的OU2为准,那么USER为阻止访问命令提示符,禁止访问控制面板和从桌面删除回收站(已禁用)。
3,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板,而OU2选择了阻止继承。这时的USERA为禁止访问控制面板。
4,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板和从桌面删除回收站(已禁用),而这时的OU1设置了强制,OU2设置了阻止继承。这时的USERA为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。因为OU1选择了强制,并且OU1和OU2还有冲突,这时强制为最高级,它会替换下层OU2中和它相冲突的策略。
二、在AD中创建一个OU为OU1,并在OU1中创建一个USERB。在OU1中创建两个组策略分别为GP1和GP2,并GP1排列在GP2的上边。
1,这时GP1的策略为从桌面删除回收站和阻止访问命令提示符,而GP2的策略为禁止访问控制面板,那么USERB为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。无冲突策略累加。
2,这时GP1的策略为从桌面删除回收站和阻止访问命令提示符,而GP2的策略为禁止访问控制面板和从桌面删除回收站(已禁用)时。因为GP1排列GP2的上边,那么最后USERB为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。因为GP1在GP2上边,下边的策略先执行,上边的策略后执行,还是后执行的为准原则,所以当GP1和GP2发生冲突时,以后执行的GP1为准!
n 计算机策略覆盖用户策略
n 不同层次的策略产生冲突时,子容器上的GPO优先级高
n 同一个容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高
n 不同层次的策略产生冲突时,如果上层容器有强制设置,那么强制优先级最高
n 总体原则:组策略无冲突时做累加,有冲突时后执行的优先级高,强制优先级最高 |