組策略應用規則示例
一、在
ad中建立兩個
ou,上層為
ou1,下層為
ou2,在
ou2中有乙個使用者
usera。1,在
ou1中做組策略設定為從桌面刪除**站,
ou2為禁止訪問控制面板。因為策略沒有衝突,這時
usera
為ou1
和ou2
的策略累加,即從桌面刪除**站,又禁止訪問控制面板。2,在
ou1中做組策略設定為從桌面刪除**站和阻止訪問命令提示符,
ou2為禁止訪問控制面板和從桌面刪除**站(已禁用)。這時
ou1和
ou2的策略產生衝突,因為沒有強制的設定,所以以後執行的
ou2為準,那麼
user
為阻止訪問命令提示符,禁止訪問控制面板和從桌面刪除**站(已禁用)。3,在
ou1中做組策略設定為從桌面刪除**站和阻止訪問命令提示符,
ou2為禁止訪問控制面板,而
ou2選擇了阻止繼承。這時的
usera
為禁止訪問控制面板。4,在
ou1中做組策略設定為從桌面刪除**站和阻止訪問命令提示符,
ou2為禁止訪問控制面板和從桌面刪除**站(已禁用),而這時的
ou1設定了強制,
ou2設定了阻止繼承。這時的
usera
為從桌面刪除**站和阻止訪問命令提示符,禁止訪問控制面板。因為
ou1選擇了強制,並且
ou1和
ou2還有衝突,這時強制為最高端,它會替換下層
ou2中和它相衝突的策略。
二、在
ad中建立乙個
ou為
ou1,並在
ou1中建立乙個
userb。在
ou1中建立兩個組策略分別為
gp1和
gp2,並
gp1排列在
gp2的上邊。
1,這時
gp1的策略為從桌面刪除**站和阻止訪問命令提示符,而
gp2的策略為禁止訪問控制面板,那麼
userb
為從桌面刪除**站和阻止訪問命令提示符,禁止訪問控制面板。無衝突策略累加。
2,這時
gp1的策略為從桌面刪除**站和阻止訪問命令提示符,而
gp2的策略為禁止訪問控制面板和從桌面刪除**站(已禁用)時。因為
gp1排列
gp2的上邊,那麼最後
userb
為從桌面刪除**站和阻止訪問命令提示符,禁止訪問控制面板。因為
gp1在
gp2上邊,下邊的策略先執行,上邊的策略後執行,還是後執行的為準原則,所以當
gp1和
gp2發生衝突時,以後執行的
gp1為準!
n計算機策略覆蓋使用者策略
n不同層次的策略產生衝突時,子容器上的
gpo優先順序高
n同乙個容器上多個
gpo產生衝突時,處於
gpo列表最高位置的
gpo優先順序最高
n不同層次的策略產生衝突時,如果上層容器有強制設定,那麼強制優先順序最高
n總體原則:組策略無衝突時做累加,有衝突時後執行的優先順序高,強制優先順序最高
組策略應用規則示例
組策略應用規則示例 一 在 ad中建立兩個 ou,上層為 ou1,下層為 ou2,在 ou2中有乙個使用者 usera。1,在 ou1中做組策略設定為從桌面刪除 站,ou2為禁止訪問控制面板。因為策略沒有衝突,這時 usera 為ou1 和ou2 的策略累加,即從桌面刪除 站,又禁止訪問控制面板。2...
組策略應用規則
在ad中建立兩個ou,上層為ou1,下層為ou2,在ou2中有乙個使用者usera。1,在ou1中做組策略設定為從桌面刪除 站,ou2為禁止訪問控制面板。因為策略沒有衝突,這時usera為ou1和ou2的策略累加,即從桌面刪除 站,又禁止訪問控制面板。2,在ou1中做組策略設定為從桌面刪除 站和阻止...
組策略系列之三 使用者或計算機應用組策略的前提
通過前面的學習,我們知道了gpo載入過程,但如何讓乙個使用者或計算機載入此策略 呢?換句話說,使用者或計算機登入或啟用難道就一定會載入相應的組策略嗎?一 組策略的兩種設定 a 計算機配置 對計算機的相應設定,原則上無論是哪些使用者在這些計算機上登入,都將載入此設定。b 使用者配置 對使用者的相應設定...