网络目录服务：实现组策略

核心提示： 如果为父 OU 配置的策略设置与为子 OU 配置的相同策略设置不兼容（因为在一个 OU 中启用该设置，而在另一个 OU 中禁用该设置），网络目录服务：实现组策略(7)，则子 OU 不从父 OU 继承策略设置，子 OU 中的策略设置将被应用，输入“Restricted Standard

如果为父 OU 配置的策略设置与为子 OU 配置的相同策略设置不兼容（因为在一个 OU 中启用该设置，而在另一个 OU 中禁用该设置），则子 OU 不从父 OU 继承策略设置。子 OU 中的策略设置将被应用。

6.4.1 启用阻止继承和禁止替代

修改组策略设置的一条途径就是阻止通常从父容器继承设置。启用阻止继承（Block Inheritance）将不允许子容器从所有父容器处继承所有的GPO设置。阻止策略继承选项仅在站点、域和 OU 上设置，而不在各个 GPO 上设置。这些设置提供对默认继承规则的完全控制。而禁止替代选项则是在GPO上进行设置。如果 GPO 启用“禁止替代”，则它不允许子容器阻止这些 GPO。

在本节中，我们将在“Accounts”OU 中建立一个 GPO，默认情况下，它应用于“Accounts”OU 内所有子对象中的用户和计算机。然后，启用“阻止继承”功能禁止将父站点、域或 OU（此处为“Accounts”OU）中设置的组策略应用于“Production”OU。为了验证“禁止替代”功能，我们再将其设置为“禁止替代”。这些设置将应用于所有子对象，即使设置与通过 GPO 应用的其他设置冲突也无妨。

² 创建新的GPO

在此，我们将创建两个GPO，请按照以下步骤操作：

1、确保实验所需的OU已创建成功。即父OU Accounts、子OU Production以及子OU中的用户Acctuser1和Acctuser2已经创建完成。

2、在【Active Directory 用户和计算机】管理控制台中，右击Accounts OU，然后单击【属性】菜单。在出现的属性对话框对话框中，选择【组策略】标签。

3、单击【新建】按钮，输入“Restricted Standard Desktop”作为 GPO 名称，然后选中新建的GPO，单击【编辑】按钮。