熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

組策略管理的難點之繼承問題

2022-06-13   來源: 網絡技術 

  筆者在域控制器的組策略管理中遇到的最頭疼的問題就是組策略權限的繼承問題我們都知道為了便於權限的設置組策略的配置具有繼承的特性也就是說默認情況下上級的配置會傳遞給下級即使下面一級沒有這方面的權限等等在對企業網絡進行組策略管理之前我們需要先明白組策略的這個繼承特性才能夠在後續的管理中事半功倍否則的話我們只會事倍功半

  假設名為現在有如下一個簡單的網絡架構

  在域OU設置中有一個辦公文員的OU其在組策略設置中當系統登陸的時候默認的用戶名是上次登陸的用戶也就是說在系統登陸的窗口中會顯示出上次登陸的帳戶名現在這個OU下面還有一個名字為銷售人員的OU在這種架構下辦公文員OU稱為父OU銷售人員的OU稱為子OU

  現在我們就來看看組策略是如何繼承的

   銷售人員OU繼承辦公文員OU的組策略

  如果父OU的配置了某個組策略但其子OU沒有配置這個組策略則父OU就會把這個子OU的組策略傳遞給子OU從而實現組策略的繼承功能這裡要注意一個問題就是這裡的子OU沒有配置這個組策略是指沒有配置過類似的組策略如果配置過不管是允許還是禁止則都不會再發生組策略的繼承

  也就是說如果辦公文員這個OU中網絡管理員配置了一個組策略在系統登陸的時候顯示上次登陸的用戶名而若在其子OU銷售人員OU中沒有對這個組策略進行任何的配置(也許默認的情況下利用域帳戶登陸的話是不顯示上次登陸的用戶名)此時域控制器就會認為銷售人員OU中沒有對這個策略進行過配置就會繼承辦公文員這個OU的組策略在下次登陸的時候顯示上一次登陸的域帳戶名

  並且這個組策略的繼承還會一直延續下去如在這個銷售人員組中下面還有銷售一組二組的OU時這個辦公文員組的組策略就會一直傳遞給銷售一組銷售二組等等但是這裡要注意一點就是我們在查看子OU的組策略的時候是不會顯示父OU的組策略也就是說組策略繼承給銷售人員這個OU的時候我們看其組策略的設置其這個 顯示上次登陸帳戶名這個組策略仍然沒有被配置但是其確確實實繼承了這個組策略所以這就給我們組策略維護的時候有一定的迷惑度

   銷售人員OU抵制辦公文員OU的組策略

  上面我們都次強調在組策略繼承中必須子OU對應的組策略沒有經過默認配置的情況下雖然其可能具有默認值才能夠發生組策略的繼承事件但是若子OU對對應的組策略進行了設置即使只是顯示的反應其默認值這這個繼承就會被打斷

  利用官方的話說就是如果子容器內的某個策略被配置則此配置值就會覆蓋由其父容器所傳遞下來的配置值這句話有兩個意思

  一是當父OU配置了某個組策略而子OU也配置了這個組策略則無論這兩個組策略是否一致則子OU都不會繼承父OU的這個組策略也就是說若子OU的組策略配置即使跟父OU的組策略配置是一樣的其也是直接使用自己的組策略而不會去關心父OU的組策略倒是是如何配置的若他們的組策略配置相互矛盾則子OU更加不會理睬父OU的組策略兒子大了做老爸的也管不住了

  二是若父OU配置了某個組策略而當時子OU還沒有對這個組策略配置過則子OU會繼承這個父OU但是後來網絡管理員發現子OU不能采用這個組策略就在子OU的組策略中重新設置了此時這個重新設置的值就會覆蓋父OU組策略傳遞下來的值

  下面筆者就舉一個例子來加深大家對這個原則的理解

  假設在父OU辦公文員這個組上我們網絡管理員出於安全方面的考慮設置了一個禁止在桌面上顯示網絡鄰居的組策略此時若子OU銷售管理員組一開始就設置了這個組策略不管其是禁止還是允許則子OU都不會考慮繼承父OU的這個組策略也就是說當兒子的有了自己的注意之後就不會聽老子的話了若子OU剛開始沒有配置這個組組策略則當銷售管理員這個OU加入到辦公文員這個OU中後則其就會繼承父OU的這個組策略但是後來網絡管理員出於某些考慮在子OU這個組策略上設置為允許在桌面上顯示網絡鄰居此時這個配置值就會覆蓋掉原有的父OU繼承下來的配置值

  以上兩個原則就是組策略繼承中的兩個基本定律在實際工作中除了以上的這些規則外還需要知道一些不成文的規定或者叫做優先性問題

   計算機配置與用戶配置的優先性問題

  域中的組策略跟計算機本身的組策略一樣也有計算機配置與用戶配置兩類現在萬一出現這種情況如果我們不小心在配置組策略的時候計算機配置與用戶配置起了沖突該怎麼處理呢?

  一般情況下系統是 以計算機配置優先而不管計算機配置與用戶配置的先後性問題也就是說在計算機配置中配置了禁止在桌面上顯示網絡鄰居的組策略而在用戶配置中又設置其為允許的此時雖然用戶配置在後但是用戶登錄後在桌面上仍然找不到網絡鄰居的配置可見計算機配置要比用戶配置優先性高

  所以為了避免後續工作的麻煩網絡管理員在配置組策略的時候最好就采用單一的配置模式要麼通過用戶配置來實現要麼通過計算機配置來實現不過一般情況下在用戶人手一台主機的情況下還是建議通過計算機配置來實現組策略

   組策略的累加問題

  在上面的闡述中筆者已經談到了組策略繼承中的累積問題也就是說如果用戶的組其有三層分別為辦公文員銷售管理與銷售一組三個OU而銷售一組這個相當於是孫子其會繼承所有辦公文員銷售管理OU中的組策略當然前期是銷售二組的OU沒有配置對應的組策略這個組策略的累加問題在某些方面有利於我們組策略的配置但是凡事有利必有弊當權限累加的多了則我們後續管理會非常的麻煩為此筆者建議在規劃OU層次的時候不要太多一般情況下不要超過三層若超過這個層數達到四層五層甚至更多則作為網絡管理人員就很難控制這個權限的累加問題

   本地計算機策略與OU組策略的優先性問題

  我們都知道在用戶本機也可以配置組策略來管理計算機在以前的文章中筆者也談到過類似的問題現在企業若引入了域控制器的話則就會產生一個新的問題如果域控制器如OU的組策略與用戶本機的組策略相沖突的話則該如何處理呢?

  如在企業還沒有采用域控制器或者沒有采用域組策略管理之前就通過計算機的本地組策略來進行計算機管理如在本地計算機組策略中設置了禁止在桌面上顯示網絡鄰居 的組策略但是在使用域管理後網絡管理員覺得在桌面上沒有顯示網絡鄰居非常的不方便所以就在域級別上設置了允許在桌面上顯示網絡鄰居這個組策略當計算機加入到這個域之後本級計算機組策略與域計算機組策略就發生了沖突在這種情況下是域組策略優先

  這跟上面提到的子OU拒絕父OU的組策略是有區別的我們在組策略管理的時候需要注意這個問題

   子OU拒絕繼承父OU的組策略

  在組策略的管理中我們還可以通過設置實現子OU無論在什麼情況下都拒絕繼承父OU的組策略也就是說直接采用子OU的組策略值當子OU某些組策略沒有配置的話就直接使用默認值

  也就是說現在有個辦公文員的OU其設置了禁止在桌面上顯示網絡鄰居這個組策略若我們在建立銷售管理人員OU的時候設置了阻止策略繼承則當我們把銷售管理人員OU加入到辦公文員OU中則銷售管理人員這個OU是不會繼承父OU中的任何一個組策略的即使銷售人員OU根本沒有配置在桌面上顯示網絡鄰居這個組策略其仍然是采用默認值

  不管一般情況下我們是不建議采用這個阻止策略繼承選項的因為如此的話我們就需要在子OU上一個一個的配置了這麼處理起來的話就會增加工作量只有在子OU跟父OU組策略相差十萬八千裡的情況下才使用這個策略當稍有差異的時候我們可以在子OU上通過配置對應的組策略來覆蓋上面繼承下來的值而不需要通過采用阻止策略繼承的極端方法來實現


From:http://tw.wingwit.com/Article/Network/201311/29961.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.