网络目录服务：实现组策略

核心提示： 在【组策略编辑器】中，选择【查看】 => 【DC先项】，网络目录服务：实现组策略(6)，可以指定下面三种中的任一种管理GPO的域控制器：具有PDC模拟器操作主令牌的域控制器，这是默认和推荐选项，如果为高级父容器指派特定的组策略设置，该组策略设置适用于父容器下面的所有容器，当发生冲突时以PD

在【组策略编辑器】中，选择【查看】 => 【DC先项】，可以指定下面三种中的任一种管理GPO的域控制器：

具有PDC模拟器操作主令牌的域控制器。这是默认和推荐选项。当发生冲突时以PDC上的设置为准。

具有Active Directory管理单元使用的域控制器。使用当前活动目录管理单元使用的域控制器。当选中这个选项时，组策略管理单元将使用相同的域控制器。

使用任何可用的域控制器。在绝大多数情况下，不要选择这个选项。当使用这个选项时，就意味着选择本站点的域控制器。

² 组策略应用时发生冲突的处理原则

如果发生冲突，默认的是执行最新的设置；除非用户设置和计算机设置冲突。而在大多数场合下，计算机设置高于用户设置。组策略是累积的，除非两个或多个设置冲突，否则所有GPO设置都将被执行；当冲突发生时确定执行哪个组。

策略设置的原则是：

来自母容器的GPO设置和来自子容器的GPO设置冲突，子容器的设置后执行并发挥作用。

连接到同一容器上的不同的GPO的设置发生冲突，在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用。

组策略累积处理的例外是IP安全性设置和用户权限设置。当执行IP安全性设置和用户权限设置时，最新执行的GPO将改变以前GPO。

GPO 链接到 Active Directory 中的站点、域和 OU 容器，默认的优先级顺序遵循 Active Directory 的分层结构特性，从低到高为：先是本地计算机设置生效，然后是站点、域、最后是每个 OU。当设置发生冲突时，以优先级更高的为准。

6．4　 组策略的继承性

通常，组策略将从域内的父容器向下传递到子容器（子域不能从父域继承组策略）。如果为高级父容器指派特定的组策略设置，该组策略设置适用于父容器下面的所有容器，其中包括每个容器中的用户和计算机对象。