GPO强制优先
Enforeced GPO的优先级是什么,我找不到任何MS文章给出了精确的答案。
我目前的理解如下:
假设我们有5个GPO – GPO1到GP05。 我将用一个考试问题放到上下文中。
GPO Linked to Enforced GP01 - contoso.com - No GP02 - contoso.com - Yes GP03 - Site 1 - Yes GP04 - OU1 - No GP05 - OU1 - Yes 现在我的理解意味着他们会按照这个顺序,从第一个申请到最后申请(因此是最优先的)。
- 由于复杂性,用户不能更改密码
- 有意破坏与Windows域的信任关系
- 如何用另一个GPO覆盖GPO?
- 在Active Directory中查看对象属性的最佳方法是什么?
- 防止用户“Exchange点击扩展”的Exchange通讯组?
GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)
我的理解是否正确? 非常感谢!
我在这里写了这个: http : //myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx
TL; DR – 同样被强制执行的最上面的GPO或父GPO将会赢。
来自微软:
您可以指定GPO链接中的设置应该优先于任何子对象的设置,方法是将该链接设置为“强制”。 不能从父容器中阻止强制执行的GPO链接。 如果没有上面的强制执行,GPO链接的更高级别(父级)的设置将被链接到子组织单位的GPO中的设置覆盖(如果GPO包含冲突的设置)。 通过执行,父GPO链接始终具有优先权。 默认情况下,GPO链接不被强制执行。
编辑:
请看这里: GPO提供意想不到的价值
其中特别指出:
强制设置是Active Directory容器与GPO之间链接的属性。 它用于强制该GPO到一个容器内的所有Active Directory对象,无论它们嵌套得多深。 强制实施的GPO中的设置会覆盖其他设置,因为稍后会应用这些设置。 如果在层次结构的两个级别上执行的GPO中存在冲突的设置,则强制执行距离客户端最远的设置。 这是通常规则的逆转 ,其中最接近的GPO的设定将占上风。
Ryan(和I:P)回答了如何处理2个或更多强制性GPO的问题,但是我想澄清,虽然GPO3链接到该网站将“获胜”,但OPs如何应用的顺序是不正确的。
该操作说明:
现在我的理解意味着他们会按照这个顺序,从第一个申请到最后申请(因此是最优先的)。
GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)
记住:
就序列本身而言(包括强制执行,但是特别是GPO在处理时的顺序顺序):
GPO3 (强制执行任何设置并从此优先)
– >
GPO1或GPO2 (取决于这两个域级别的链接顺序,GPO2被强制执行,除非由于在站点级别执行GPO3而导致GPO3设置否决)
– >
GPO4或GPO5 (取决于这两个OU级别的链接顺序,除GPO2或GPO3设置否决外,GPO5正在执行)