按照gpresult /r,存在针对受信任站点的现有 DC 应用 GPO。
GPO 名称:GPO-NAM-IE-TRUSTEDSITES
我通过本地组策略编辑器 (gpedit.msc) 在 Internet Explorer 安全站点区域下添加了一个站点。运行gpupdate /force并重新启动该框。站点已添加到 IE 受信任站点区域列表中。
这是否意味着本地 GPO 始终优先于 DC 应用的 GPO,或者在配置在同一对象上的情况下优先于 DC 应用的 GPO?经验法则是什么?或者
DC 应用的 GPO 是否可能配置错误?或者
这可能与我的域用户 ID 是 Win7 机器上的管理员组成员有关吗?
请解释..
答案1
这是预期的行为。当存在来自多个策略的设置时,Internet Explorer 站点到区域分配列表设置将合并。您可以使用 gpresult /h 显示结果策略集和获胜策略。
如果所有站点到区域的分配都在单个注册表值中,则域策略将覆盖本地策略。如果在域和本地组策略中指定了同一个站点,则域策略将覆盖本地策略。例如,如果在域策略中的 Internet 区域和本地策略中的受信任站点区域中定义了 microsoft.com,则域策略设置将覆盖,microsoft.com 将位于 Internet 区域中。但每个站点都是一个单独的注册表值,并且各个站点的设置将合并。
阻止本地策略设置的唯一方法是启用组策略设置:
计算机 > 策略 > 管理模板 > 系统 > 组策略:关闭本地组策略对象处理。
答案2
正如 Greg 在他的回答中所述,当存在来自多个策略的设置时,Internet Explorer 站点到区域分配列表设置会被合并。
但要回答你的一般问题:Does this mean that local GPO always take precedence over DC applied GPO or in case configuration is done on same object? What is rule of thumb?
如果我们暂时忽略策略实施和继承阻止,组策略将按照以下优先顺序应用:
LSDOU:
当地的
地点
领域
组织单位
这意味着本地组策略首先应用并且具有最低优先级,这意味着当存在策略设置冲突(在多个策略中配置的策略设置)时,本地组策略将被站点链接策略、域链接策略和组织单位链接策略覆盖。