首先要了解可以實施組策略的容器它們分別是
域(Domain)組織單元(OU)站點(Site)
在不同的容器上設置組策略組策略的應用范圍也不相同當應用范圍發生重疊時就容易產生組策略的邏輯錯誤如何避免這樣的邏輯錯誤呢?筆者有一些經驗和大家共享
其次要了解Windows Server 中活動目錄(Active Directory)是如何解決組策略沖突的在AD(Active Directory)中解決組策略沖突主要遵循以下規則
組策略的執行順序是首先執行的是本地策略然後依次是站點策略域(Domain)策略OU策略子OU策略(如圖)
圖 策略順序
圖 設置阻止繼承
當組策略產生沖突時OU的組策略設置覆蓋Domain的組策略設置Domain的組策略設置覆蓋Site的組策略設置Site的組策略設置覆蓋Local策略設置
在同一容器上多個組策略產生沖突時排列在組策略列表中最上方的組策略的設置生效
第三組策略的繼承性在默認情況下子容器總是繼承父容器的組策略設置可以通過以下兩種設置方式更改組策略的繼承性
阻止繼承子容器可以設置阻止繼承以便讓子容器自身的組策略設置生效(如圖)
禁止覆蓋當您想使某個組策略的設置不被後執行的組策略的設置所覆蓋可以使用組策略的禁止覆蓋功能如圖當Sales_GPO的設置與後執行的組策略設置產生沖突時由於Sales_GPO策略已被設置成禁止覆蓋了所以Sales_GPO的設置生效
圖 禁止覆蓋
圖 組策略環回處理
第四組策略的環回處理技術在組策略中有計算機配置和用戶配置兩個節點計算機的啟動時應用的是計算機配置用戶在登錄時應用的是用戶配置當一台計算機由多個用戶使用時為保證不論哪一個用戶登錄此計算機配置一致可以使用組策略的環回處理技術(如圖)
有兩種模式
合並將計算機配置和用戶配置合並後作用
替換用計算機配置替換用戶配置
最後在使用組策略防止沖突的小技巧就是利用OU的單一管理性在創建OU時為企業內的每個部門創建兩個OU一個用來存儲該部門的計算機賬戶另一個用來存儲該部門的用戶賬戶這樣可以減少組策略設置的沖突
From:http://tw.wingwit.com/Article/os/xtgl/201311/9441.html
