您可以在組策略管理控制臺(tái)中將一個(gè)或多個(gè)GPO鏈接添加到每個(gè)域、站點(diǎn)和部門(mén)中。默認(rèn)情況下,子容器繼承鏈接到Active Directory中更高容器(父容器)的GPO所部署的設(shè)置,這些設(shè)置可以與鏈接到子容器的GPO中部署的任何設(shè)置結(jié)合使用。如果多個(gè)GPO試圖將某個(gè)設(shè)置設(shè)定為有沖突的值,則由具有最高優(yōu)先級(jí)的GPO設(shè)定該設(shè)置。GPO處理基于最后寫(xiě)入者獲勝模型(Last Writer Wins Model),之后處理的GPO比之前處理的GPO的優(yōu)先級(jí)高。在本章前面介紹了,組策略對(duì)象是按以下順序處理的:本地組策略對(duì)象(LGPO)→鏈接到站點(diǎn)的GPO→鏈接到域的GPO→鏈接到組織單位的GPO。對(duì)于嵌套的組織單位,先處理與父組織單位關(guān)聯(lián)的GPO,然后再處理與子組織單位關(guān)聯(lián)的GPO。

中文名

策略繼承

策略繼承

通常,組策略在域中從父“容器”向下傳遞給子“容器”,對(duì)此可以使用 Active Directory 用戶(hù)和計(jì)算機(jī)管理單元進(jìn)行查看。父“域”中的組策略不會(huì)被子“域”繼承,例如從 wingtiptoys.com 到 sales.wingtiptoys.com??梢允褂?Active Directory 域和信任關(guān)系管理單元管理這種類(lèi)型的關(guān)系,它與組策略無(wú)關(guān)。

如果為一個(gè)高級(jí)別的父容器指派特定的組策略設(shè)置,則這個(gè)組策略適用于該父容器下的所有容器,包括每個(gè)容器中的用戶(hù)和計(jì)算機(jī)對(duì)象。但是,如果您明確為某個(gè)子容器指定組策略設(shè)置,則子容器的組策略設(shè)置將覆蓋父容器的設(shè)置。

如果父組織單位具有未配置的策略設(shè)置,則子組織單位將不會(huì)繼承。禁用的策略設(shè)置繼承后也是禁用的。此外,如果父組織單位已經(jīng)配置某策略設(shè)置(啟用或禁用),而子組織單位并未配置同一策略設(shè)置,則子組織單位繼承父組織單位的啟用或禁用的策略設(shè)置。

如果應(yīng)用到父組織單位的策略設(shè)置與應(yīng)用到子組織單位的策略設(shè)置兼容,則子組織單位就會(huì)繼承父組織單位的策略設(shè)置,而且還會(huì)應(yīng)用子組織單位的策略設(shè)置。

如果為父組織單位配置的策略設(shè)置與為子組織單位配置的同一策略設(shè)置不兼容(因?yàn)樵谀撤N情況下設(shè)置是啟用的,而在另一種情況下設(shè)置是禁用的),子組織單位就不繼承父組織單位的策略設(shè)置。子組織單位中的設(shè)置會(huì)得以應(yīng)用。

阻止繼承

可以在域或組織單位級(jí)別阻止策略繼承,方法是打開(kāi)域或組織單位的屬性對(duì)話框,并選中“阻止策略繼承”復(fù)選框。詳細(xì)信息,請(qǐng)參閱阻止策略繼承。

強(qiáng)迫繼承

可以強(qiáng)迫策略繼承,方法是在組策略對(duì)象鏈接上設(shè)置“禁止替代”選項(xiàng)。

選中“禁止替代”復(fù)選框后,就會(huì)強(qiáng)迫所有子策略容器繼承父策略,即使這些策略與子策略相沖突,或者已為子容器設(shè)置了“阻止繼承”選項(xiàng),也是如此。

可以在組策略對(duì)象鏈接上設(shè)置“禁止替代”選項(xiàng),方法是打開(kāi)站點(diǎn)、域或組織單位的屬性對(duì)話框,并確保選中“禁止替代”復(fù)選框。詳細(xì)信息,請(qǐng)參閱防止組策略對(duì)象被覆蓋。