我有一个 OU 为Servers,还有一个 子 OU 为TerminalServers。在ServersOU 中,我有一个启用链接并强制执行的 GPO,名为ServerFirewallPolicy。在TerminalServersOU 中,我有一个启用链接并强制执行的 GPO,名为TSFirewallPolicy。
在 中ServerFirewallPolicy,有一个设置允许RDP-in但仅限于定义的子网的自定义范围内。在 中TSFirewallPolicy,有相同的设置允许RDP-in但适用于任何主机(即公共 RDP 服务器)。
我对 GPO 继承和应用顺序的理解是,最外层的 OU 最后处理,因此在这种情况下,将ServerFirewallPolicy优先,而这正是正在发生的事情 - 我的服务器TerminalServers被限制在中定义的自定义范围内ServerFirewallPolicy。
我如何才能改变应用程序的顺序以便ServerFirewallPolicy仍然进行评估(因为它对所有服务器都有许多通用且有用的规则)但TSFirewallPolicy优先?
答案1
您无法更改 GPO 应用程序顺序,并且您对应用程序顺序的理解(“最外层 OU 最后处理”)并不准确。(编辑:抱歉 - 我的意思是我对您对 GPO 应用程序顺序的理解。我可能误解了你,但措辞的方式让我觉得你错了。)
http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx
首先应用本地策略。然后是链接在站点级别的策略。然后是链接在域级别的策略。然后是链接到 OU 的策略。首先处理链接到更高 OU 的策略,这样最后应用链接到“最接近”目标的 OU 的 GPO,覆盖之前可能存在的冲突设置。最后,如果多个 GPO 链接到单个 OU,则从下向上处理它们。(我认为这已经过时了 - 现在应该是链接顺序。)
最后的作家获胜。
您可以在各个级别利用“强制”和“阻止继承”行为,也可以使用环回处理,但你无法改变这个基本秩序。
Servers (ServerFirewallPolicy[ENFORCED])
|
+---TerminalServers (TSFirewallPolicy[ENFORCED])
来自Technet:
强制执行 GPO 链接
通过将 GPO 链接设置为强制,您可以指定 GPO 链接中的设置应优先于任何子对象的设置。强制的 GPO 链接不能从父容器阻止。如果没有上级强制,如果 GPO 包含冲突的设置,则链接到子组织单位的 GPO 中的设置将覆盖更高级别(父级)的 GPO 链接的设置。如果强制,父级 GPO 链接始终具有优先权。默认情况下,不强制执行 GPO 链接。在 GPMC 之前的工具中,“强制”被称为“无覆盖”。