强制 GPO 的优先级是什么,我真的找不到任何能给出完善答案的 MS 文章。
我目前的理解如下:
假设我们有 5 个 GPO - GPO1 到 GP05。我将使用一道考试题目来说明情况。
GPO Linked to Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 - Site 1 - Yes
GP04 - OU1 - No
GP05 - OU1 - Yes
现在我的理解是它们将按照这个顺序应用,从第一个应用到最后一个应用(因此是优先的)。
GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)
我的理解正确吗?非常感谢!
答案1
TL;DR - 同样强制执行的最上层或父级 GPO 将获胜。
来自微软:
通过将 GPO 链接设置为强制,您可以指定 GPO 链接中的设置应优先于任何子对象的设置。无法从父容器阻止强制的 GPO 链接。如果没有从上级强制执行,如果 GPO 包含冲突的设置,则链接到子组织单位的 GPO 中的设置将覆盖较高级别(父级)的 GPO 链接的设置。通过强制执行,父 GPO 链接始终具有优先权。默认情况下,不强制执行 GPO 链接。
编辑:
另请参见此处:GPO 提供意想不到的价值
其中明确指出:
强制执行设置是 Active Directory 容器和 GPO 之间的链接属性。它用于将该 GPO 强制应用于容器内的所有 Active Directory 对象,无论这些对象的嵌套深度如何。强制执行的 GPO 中的设置将覆盖其他优先的设置,因为它们稍后应用。如果在层次结构的两个级别上强制执行的 GPO 中存在冲突的设置,则以距离客户端最远的设置为准。这与通常的规则相反,其中最近链接的 GPO 的设置将占主导地位。
答案2
Ryan(和我:P)回答了如何处理 2 个或更多强制执行的 GPO 的问题,但我想澄清的是,虽然链接到该网站的 GPO3 将“获胜”,但 OP 的应用顺序并不正确。
OP 指出:
现在我的理解是它们将按照这个顺序应用,从第一个应用到最后一个应用(因此是优先的)。
GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)
记住:
就序列本身而言(包括执行,特别是处理时查看 GPO 的序列顺序):
磷酸化酶3(从现在起,其所有设置均强制执行并优先)
->
GPO1 或 GPO2(取决于这两者在域级别的链接顺序,GPO2 被强制执行,除非 GPO3 设置否决,因为 GPO3 是在站点级别强制执行的)
->
GPO4 或 GPO5(取决于这 2 个 OU 级别的链接顺序,除非 GPO2 或 GPO3 设置覆盖,否则将强制执行 GPO5)
答案3
我很久没有遇到过 GPO 了,所以我只使用 GPMC 中的“链接组策略对象”选项卡进行调用