您可以在組策略管理控制臺中將一個或多個GPO鏈接添加到每個域、站點和部門中。默認情況下,子容器繼承鏈接到Active Directory中更高容器(父容器)的GPO所部署的設置,這些設置可以與鏈接到子容器的GPO中部署的任何設置結合使用。如果多個GPO試圖將某個設置設定為有沖突的值,則由具有最高優(yōu)先級的GPO設定該設置。GPO處理基于最后寫入者獲勝模型(Last Writer Wins Model),之后處理的GPO比之前處理的GPO的優(yōu)先級高。在本章前面介紹了,組策略對象是按以下順序處理的:本地組策略對象(LGPO)→鏈接到站點的GPO→鏈接到域的GPO→鏈接到組織單位的GPO。對于嵌套的組織單位,先處理與父組織單位關聯(lián)的GPO,然后再處理與子組織單位關聯(lián)的GPO。

中文名

策略繼承

策略繼承

通常,組策略在域中從父“容器”向下傳遞給子“容器”,對此可以使用 Active Directory 用戶和計算機管理單元進行查看。父“域”中的組策略不會被子“域”繼承,例如從 wingtiptoys.com 到 sales.wingtiptoys.com??梢允褂?Active Directory 域和信任關系管理單元管理這種類型的關系,它與組策略無關。

如果為一個高級別的父容器指派特定的組策略設置,則這個組策略適用于該父容器下的所有容器,包括每個容器中的用戶和計算機對象。但是,如果您明確為某個子容器指定組策略設置,則子容器的組策略設置將覆蓋父容器的設置。

如果父組織單位具有未配置的策略設置,則子組織單位將不會繼承。禁用的策略設置繼承后也是禁用的。此外,如果父組織單位已經(jīng)配置某策略設置(啟用或禁用),而子組織單位并未配置同一策略設置,則子組織單位繼承父組織單位的啟用或禁用的策略設置。

如果應用到父組織單位的策略設置與應用到子組織單位的策略設置兼容,則子組織單位就會繼承父組織單位的策略設置,而且還會應用子組織單位的策略設置。

如果為父組織單位配置的策略設置與為子組織單位配置的同一策略設置不兼容(因為在某種情況下設置是啟用的,而在另一種情況下設置是禁用的),子組織單位就不繼承父組織單位的策略設置。子組織單位中的設置會得以應用。

阻止繼承

可以在域或組織單位級別阻止策略繼承,方法是打開域或組織單位的屬性對話框,并選中“阻止策略繼承”復選框。詳細信息,請參閱阻止策略繼承。

強迫繼承

可以強迫策略繼承,方法是在組策略對象鏈接上設置“禁止替代”選項。

選中“禁止替代”復選框后,就會強迫所有子策略容器繼承父策略,即使這些策略與子策略相沖突,或者已為子容器設置了“阻止繼承”選項,也是如此。

可以在組策略對象鏈接上設置“禁止替代”選項,方法是打開站點、域或組織單位的屬性對話框,并確保選中“禁止替代”復選框。詳細信息,請參閱防止組策略對象被覆蓋。