在企业实施Windows Server 的域环境中很多的网络管理员都遇到了组策略的逻辑错误也就说网络管理员在DC(Domain Control)上设置好的组策略在客户端或其他服务器端没能实现通常这样的错误称为逻辑错误为什么会出现这样的逻辑错误呢? 首先要了解可以实施组策略的容器它们分别是域(Domain)组织单元(OU)站点(Site) 在不同的容器上设置组策略组策略的应用范围也不相同当应用范围发生重叠时就容易产生组策略的逻辑错误 图 策略顺序 当组策略产生沖突时OU的组策略设置覆盖Domain的组策略设置Domain的组策略设置覆盖Site的组策略设置Site的组策略设置覆盖Local策略设置 在同一容器上多个组策略产生沖突时排列在组策略列表中最上方的组策略的设置生效 第三组策略的继承性在默认情况下子容器总是继承父容器的组策略设置可以通过以下两种设置方式更改组策略的继承性 阻止继承子容器可以设置阻止继承以便让子容器自身的组策略设置生效(如图所示) 图 设置组织继承 禁止覆盖当您想使某个组策略的设置不被后执行的组策略的设置所覆盖可以使用组策略的禁止覆盖功能如图所示当Sales_GPO的设置与后执行的组策略设置产生沖突时由于Sales_GPO策略已被设置成禁止覆盖了所以Sales_GPO的设置生效 图 禁止覆盖 第四组策略的环回处理技术在组策略中有计算机配置和用户配置两个节点计算机在启动时应用的是计算机配置用户在登录时应用的是用户配置当一台计算机由多个用户使用时为保证不论哪一个用户登录此计算机配置一致可以使用组策略的环回处理技术(如图所示) 图 组策略环回处理 有如下两种模式 合并将计算机配置和用户配置合并 替换用计算机配置替换用户配置 最后使用组策略防止沖突的小技巧就是利用OU的单一管理性在创建OU时为企业内的每个部门创建两个OU一个用来存储该部门的计算机账户另一个用来存储该部门的用户账户这样可以减少组策略设置的沖突 |