网络目录服务:实现组策略
2010-09-27 12:57:12 来源:WEB开发网在【组策略编辑器】中,选择【查看】 => 【DC先项】,可以指定下面三种中的任一种管理GPO的域控制器:
具有PDC模拟器操作主令牌的域控制器。这是默认和推荐选项。当发生冲突时以PDC上的设置为准。
具有Active Directory管理单元使用的域控制器。使用当前活动目录管理单元使用的域控制器。当选中这个选项时,组策略管理单元将使用相同的域控制器。
使用任何可用的域控制器。在绝大多数情况下,不要选择这个选项。当使用这个选项时,就意味着选择本站点的域控制器。
² 组策略应用时发生冲突的处理原则
如果发生冲突,默认的是执行最新的设置;除非用户设置和计算机设置冲突。而在大多数场合下,计算机设置高于用户设置。组策略是累积的,除非两个或多个设置冲突,否则所有GPO设置都将被执行;当冲突发生时确定执行哪个组。
策略设置的原则是:
来自母容器的GPO设置和来自子容器的GPO设置冲突,子容器的设置后执行并发挥作用。
连接到同一容器上的不同的GPO的设置发生冲突,在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用。
组策略累积处理的例外是IP安全性设置和用户权限设置。当执行IP安全性设置和用户权限设置时,最新执行的GPO将改变以前GPO。
GPO 链接到 Active Directory 中的站点、域和 OU 容器,默认的优先级顺序遵循 Active Directory 的分层结构特性,从低到高为:先是本地计算机设置生效,然后是站点、域、最后是每个 OU。当设置发生冲突时,以优先级更高的为准。
6.4 组策略的继承性
通常,组策略将从域内的父容器向下传递到子容器(子域不能从父域继承组策略)。如果为高级父容器指派特定的组策略设置,该组策略设置适用于父容器下面的所有容器,其中包括每个容器中的用户和计算机对象。
更多精彩
赞助商链接