目录
3. 组策略应用规则
组策略的影响范围非常广泛,域内所有的用户和计算机都可能受到约束,因此,应用组策略之前应明确组策略的各种应用规则,如组策略的继承与阻止,累加与冲突和强制生效等,以方便利用这些规则顺利地实现用户的需求。
3.1 组策略的继承与阻止
在默认情况下,下层容器会继承来自上层容器的GPO。如图4.15所示,OU“销售部”会继承域
“benet.com”的组策略;子OU“销售部_北京”和“销售部_上海”会继承其上级OU销售部”的组策略。
子容器也可以阻止继承上层容器的组策略。在图4.15中,若OU销售部_北京”不需要应用来自上级OU的组策略,可以右击“销售部_北京”,在弹出的快捷菜单中选择“阻止继承”命令,这样OU“销售部_北京”就不会应用任何组策略,如图所示。
3.2 组策略的累加与冲突
如果容器的多个组策略设置不冲突,则最终的有效策略是所有组策略设置的累加。
如图所示,域“benetcom”链接到组策略对象“Default Domain PolicyOU销售部”链接到组策略对象“wallpaper_sales”,则OU“销售部”会同时应用“Default Domain Policy”和“wallpaper_sales”这两个组策略对象。
例如,域“benet.com”的GPO规定用户禁止访问命令提示符,OU“销售部”的GPO规定用户必须使用统一桌面背景,则OU”销售部”下的用户既不能访问命令提示符,也无法更改桌面背景。
如果容器的多个组策略设置冲突(对相同项目进行了不同设置),组策略则按以下顺序被应用:LSDOU,它表示本地(Local)站点(Site)、域(Domain)组织单位(OrganizationalUnit)。默认情况下,当策略设置发生冲突时,后应用的策略将覆盖前面的策略。
每台运行Windows版本系统的计算机都只有一个本地组策略对象,如果计算机在工作组环境下,将会应用本地组策略对象。如果计算机加入域,则除受到本地组策略的影响外,还可能受到站点,域和OU组策略对象的影响。如果策略之间发生冲突,则后应用的策略起作用。
案例某公司网络采用Windows Server 2016 域环境进行管理,销售部员工的用户账户都位于OU“销售部”,其他部门员工的用户账户分别位于各自部门的OU中。现在公司要求全体员工都不能访问命令提示符,除销售部员工使用销售部指定的桌面背景wallpaper_sales外,统一使用公司指
定的桌面背景wallpaper_company,个人不能随意更改成其他桌面背景。
按照以下步骤操作来实现上述要求。
(1)打开“组策略管理”控制台,编辑GPO“Default