组策略应用规则示例

 组策略应用规则示例
一、在AD中创建两个OU，上层为OU1，下层为OU2，在OU2中有一个用户USERA。

1，在OU1中做组策略设置为从桌面删除回收站，OU2为禁止访问控制面板。因为策略没有冲突，这时USERA为OU1和OU2的策略累加，即从桌面删除回收站，又禁止访问控制面板。

2，在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符，OU2为禁止访问控制面板和从桌面删除回收站（已禁用）。这时OU1和OU2的策略产生冲突，因为没有强制的设置，所以以后执行的OU2为准，那么USER为阻止访问命令提示符，禁止访问控制面板和从桌面删除回收站（已禁用）。

3，在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符，OU2为禁止访问控制面板，而OU2选择了阻止继承。这时的USERA为禁止访问控制面板。

4，在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符，OU2为禁止访问控制面板和从桌面删除回收站（已禁用），而这时的OU1设置了强制，OU2设置了阻止继承。这时的USERA为从桌面删除回收站和阻止访问命令提示符，禁止访问控制面板。因为OU1选择了强制，并且OU1和OU2还有冲突，这时强制为最高级，它会替换下层OU2中和它相冲突的策略。

二、在AD中创建一个OU为OU1，并在OU1中创建一个USERB。在OU1中创建两个组策略分别为GP1和GP2，并GP1排列在GP2的上边。

1，这时GP1的策略为从桌面删除回收站和阻止访问命令提示符，而GP2的策略为禁止访问控制面板，那么USERB为从桌面删除回收站和阻止访问命令提示符，禁止访问控制面板。无冲突策略累加。

2，这时GP1的策略为从桌面删除回收站和阻止访问命令提示符，而GP2的策略为禁止访问控制面板和从桌面删除回收站（已禁用）时。因为GP1排列GP2的上边，那么最后USERB为从桌面删除回收站和阻止访问命令提示符，禁止访问控制面板。因为GP1在GP2上边，下边的策略先执行，上边的策略后执行，还是后执行的为准原则，所以当GP1和GP2发生冲突时，以后执行的GP1为准！

n 计算机策略覆盖用户策略
n 不同层次的策略产生冲突时，子容器上的GPO优先级高
n 同一个容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高
n 不同层次的策略产生冲突时，如果上层容器有强制设置，那么强制优先级最高
n 总体原则：组策略无冲突时做累加，有冲突时后执行的优先级高，强制优先级最高