AD之Group Policy-套用順序和特性
轉載至 http://melissa1208.wordpress.com/2011/01/17/itad之group-policy大哉問/
群組原則的套用範圍包含了站台、網域與組織單位等容器,套用機制具有下列特性:
繼承 (Inheritance):
在 AD 架構中,下層容器會繼承上層容器之 GPO 設定。在整個繼承關係中,最上層為站台,其下依序為網域、組織單位;若有多層組織單位,則下層組織單位會繼承上層組織單位的 GPO。
累加 (Cumulation):
在群組原則的套用上,下層容器會先套用繼承自上層容器的群組原則,再套用連結本身的群組原則。當上層的設定項目與下層不同時,有效群組原則是上下層的聯集;若是對同一項目做不同的設定,則先套用的原則 (上層原則) 會被後套用的原則 (下層原則) 覆蓋。
優先順序性 (Precedence):
群組原則的套用順序為:本機→站台→網域→上層組織單位→下層組織單位。若不考慮「不可強制覆蓋」與「不要繼承原則」,原則上是“後套用的設定值覆蓋先套用的設定值”;若同一物件套用多個群組原則,在群組原則物件連結清單中,排在比較下面的 GPO 會先套用,然後依序套用上面的 GPO。
電腦設定生效時機
1. 電腦下次開機時。
2. 自動更新時間:在預設情形下,非網域控制站的成員電腦每隔 90 分鐘 ± 隨機時間(1~30 分鐘)向網域控制站要求更新電腦群組原則,網域控制站則每隔 5 分鐘更新群組原則。
3. 手動更新:執行指令「gpupdate /target:computer」或「gpupdate /force」立即更新。
使用者設定生效時機
1. 使用者下次登入時。
2. 自動更新時間:預設為 90 分鐘 ± 隨機時間(1~30 分鐘)。
3. 手動更新:執行指令「gpupdate /target:user」或「gpupdate /force」立即更新。
Group Policy套用順序:Site->Domain->OU
1.網域控制站安全性原則
(其設定可蓋過所有為網域控制站的本機安全性原則,不包含其網域下的其它工作站)
2.本機安全性原則
(儘限於該台網域控制站專用,但會被網域控制站安全性原則蓋過)
3.網域安全性原則
(其設定可蓋過所有該網域下工作站的本機安全性原則,不包含網域控制站)
4.組織的群組原則
(其設定可蓋過該組織下工作站的本機安全性原則,但會被網域安全性原則蓋過)
套用的順序為:本機–>站台–>網域–>組織單位,不互斥則有累加性,互斥則後蓋前。
群組原則處理順序
群組原則設定會以下列連續處理:
本機群組策略物件。
從 Windows XP 開始執行 Windows 作業系統的每個裝置,都只有一個儲存在本地的群組原則物件。
網站。
接下來會處理已連結至網站的任何群組原則物件。 處理是同步處理,而且會以您指定的順序進行。
網域。
處理多個網域連結的群組原則物件是同步處理,並按您的特定順序進行。
組織單位。
會先處理連結至 Active Directory 階層中最高組織單位的群組原則物件,然後再處理連結至其子組織單位的群組原則物件,以此類比。 最後,會處理連結至包含使用者或裝置之組織單位的群組原則物件。
在 Active Directory 階層中每個組織單位的層級,可以連結一個、多個或沒有任何群組原則物件。 如果多個群組原則物件連結至組織單位,則其處理會以您指定的順序同步處理。
此順序表示先處理本機群組策略物件,而連結至電腦或使用者為直接成員之組織單位的群組原則物件會最後處理,這會覆寫先前群組原則物件。
這是預設的處理順序,系統管理員可以指定此訂單的例外。 連結至網站、網域或組織單位 (而非本機群組策略物件) 的群組原則物件可以設定為該網站、網域或組織單位**** 的強制執行,因此其任何策略設定都不得被套用。 在任何網站、網域或組織單位,您可以選擇性地將群組原則繼承標記為 封鎖繼承。 不過,設定為強制執行的群組原則**** 物件連結會一直套用,而且無法封鎖。 詳細資訊請參閱組策略基本功能 – 第 2 部分:瞭解要申請的 GPO。
本機安全性原則指令
gpedit.msc
網域安全性原則指令(在AD上才有)
secedit
gpupdate /force
gpresult /z
沒有留言:
張貼留言