我有一个用于Servers
的OU,以及一个用于TerminalServers
的子OU。 在Servers
OU中,我有一个启用了链接的GPO,名为ServerFirewallPolicy
。 在TerminalServers
OU中,我有一个启用了链接的GPO,称为TSFirewallPolicy
。
在ServerFirewallPolicy
,有一个允许RDP-in
的设置RDP-in
但只能在定义的子网的自定义范围内。 在TSFirewallPolicy
,有相同的设置允许RDP-in
但对于任何主机(即公共RDP服务器)。
我对GPOinheritance和应用程序的理解是,最后一个OU是最后一个处理的,所以在这种情况下, ServerFirewallPolicy
将优先,而这正是发生的情况 – 我在TerminalServers
下的服务器被限制在定义的自定义范围ServerFirewallPolicy
。
如何更改应用程序的顺序,使ServerFirewallPolicy
仍然被评估(因为它对所有服务器都有许多常用和有用的规则),但TSFirewallPolicy
优先?
您无法更改GPO应用程序顺序,并且您对应用程序顺序的理解(“最后一个OU最后处理”)不准确。 (编辑:我的歉意 – 我的意思是我理解你对GPO申请顺序的理解,可能是我误解了你的意思,但它的措辞让我觉得你错了。
http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx
本地政策首先得到应用。 然后在网站级别链接政策。 然后在域级别链接策略。 然后,链接到OU的政策。 链接到较高OU的策略将首先进行处理,以便链接到与目标“最接近”的OU的GPO最后应用,覆盖以前可能遇到的冲突设置。 最后,如果多个GPO链接到单个OU,则会从下到上进行处理。 (我相信这已经过时 – 现在应该按照链接顺序)。
最后一位作家获胜
您可以利用各种级别的“强制”和“块inheritance”行为,也可以使用“ 环回处理” ,但无法更改该基本顺序。
Servers (ServerFirewallPolicy[ENFORCED]) | +---TerminalServers (TSFirewallPolicy[ENFORCED])
来自Technet:
执行GPO链接
您可以指定GPO链接中的设置应该优先于任何子对象的设置,方法是将该链接设置为“强制”。 不能从父容器中阻止强制执行的GPO链接。 如果没有上面的强制执行,GPO链接的更高级别(父级)的设置将被链接到子组织单位的GPO中的设置覆盖(如果GPO包含冲突的设置)。 通过执行,父GPO链接始终具有优先权。 默认情况下,GPO链接不被强制执行。 在GPMC之前的工具中,“强制”被称为“不覆盖”。