本地GPO与DC应用GPO
根据gpresult /r ,现有的DC适用于可信站点的GPO。
GPO名称:GPO-NAM-IE-TRUSTEDSITES
我通过本地组策略编辑器(gpedit.msc)在Internet Explorer安全站点区域中添加了一个站点。 运行gpupdate /force并重新启动该框。 网站被添加到IE受信任的站点区域列表中。
这是否意味着本地GPO总是优先于应用DC的GPO,或者configuration是在同一个对象上完成的? 什么是经验法则? 要么
- “权限被拒绝”创build一个新的基于域的Dfs根作为非pipe理员
- 现有的Azure AD Connect /现有AD:同步?
- 需要帮助从PowerShell创build报告
- Active Directory林复制之间的最大“健康”时间量
- 我在哪里可以find正在添加到计算机的事件日志,或从域中断开/删除?
可能是应用DC的GPOconfiguration错误吗? 要么
难道这是我的域用户ID是我的Win7的pipe理员组的成员?
请解释..
这是预期的行为。 当存在来自多个策略的设置时,Internet Explorer站点到区域分配列表设置将被合并。 您可以使用gpresult / h来显示最终的策略集和获胜策略。
如果所有站点到区域分配都在一个registry值中,那么域策略将覆盖本地策略。 如果同时在域和本地组策略中指定了相同的站点,则域策略将覆盖本地策略。 例如,如果在域策略中的Internet区域中定义了microsoft.com,而在本地策略中定义了受信任的站点区域,则域策略设置将被覆盖,而microsoft.com将位于Internet区域中。 但是每个站点都是一个单独的registry值,并且单个站点的设置被合并。
阻止本地策略设置的唯一方法是启用组策略设置:
计算机>策略>pipe理模板>系统>组策略:closures本地组策略对象处理。
正如Greg在答复中所述,当存在来自多个策略的设置时,Internet Explorer站点到区域分配列表设置将被合并。
但是要回答您的一般问题: Does this mean that local GPO always take precedence over DC applied GPO or in case configuration is done on same object? What is rule of thumb? Does this mean that local GPO always take precedence over DC applied GPO or in case configuration is done on same object? What is rule of thumb?
如果我们忽略策略执行和inheritance阻塞一分钟,则按以下优先顺序应用组策略:
LSDOU:
本地
现场
域
组织单位
这意味着本地组策略首先被应用并且具有最低的优先级,这意味着当存在策略设置冲突(策略设置被configuration在多个策略中)时,本地组策略将被站点链接策略所覆盖,域链接策略和组织单元链接策略。