Active Diretory 全攻略（八）－－组策略（1）

策略继承：在AD结构中，若X容器下层还有Y容器，则Y容器便是所谓的”子容器“，X，Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。

在整个继承关系中，最上层为站点，其下层为域与组织单位。若有多层组织单位，则下层组织单位会继承上层组织单位的GPO。

策略累加：策略累加机制和组策略的应用顺序有密切的关系，假设将域FLAG。COM连接到GPO-F，将组织单位PRODUCT与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与EMPLOYE这两个组织单位除了本身的组策略外，还会继承来自上层容器策略。子容器会首先应用继承来自上层容器的组策略，然后再应用本身的组策略，当上层的设置项目与下层的设置项目不同时，组策略的效果可以相加，但若是对同一个项目做不同的设置，则先应用的策略会被后来应用的策略覆盖。

何时应用组策略：

开机/登录：当计算机开机时，域控制器会根据计算机帐户在AD中的位置，决定该计算机必须应用哪些GPO。此时仅应用这些GPO中计算机设置的部分。用户登录时，即按CTRL+ALT+DEL后，输入账号和密码。域控制器会根据用户帐户在AD中的位置，决定该用户必须应用哪些GPO。此时仅应用这些GPO中用户设置的部分。

一般而言，都是计算机顺利启动之后，用户才能用该计算机登录域，因此，在实际上是先应用计算机设置，后应用用户设置。不过，这里出现一个值得注意的现象，当计算机设置和用户设置发生冲突时，若依照前面的概念，应该是后应用的用户设置覆盖掉先应用的计算机设置，然而并不是这样，事实是计算机设置覆盖掉用户设置。

此外由于计算机与用户可能分别隶属不同的站点、域或组织单位，因此，各自可能会继承不同的GPO。