首先要了解可以实施组策略的容器它们分别是 域(Domain)组织单元(OU)站点(Site) 在不同的容器上设置组策略组策略的应用范围也不相同当应用范围发生重叠时就容易产生组策略的逻辑错误如何避免这样的逻辑错误呢?笔者有一些经验和大家共享 其次要了解Windows Server 中活动目录(Active Directory)是如何解决组策略沖突的在AD(Active Directory)中解决组策略沖突主要遵循以下规则 组策略的执行顺序是首先执行的是本地策略然后依次是站点策略域(Domain)策略OU策略子OU策略(如图) 图 策略顺序 图 设置阻止继承 当组策略产生沖突时OU的组策略设置覆盖Domain的组策略设置Domain的组策略设置覆盖Site的组策略设置Site的组策略设置覆盖Local策略设置 在同一容器上多个组策略产生沖突时排列在组策略列表中最上方的组策略的设置生效 第三组策略的继承性在默认情况下子容器总是继承父容器的组策略设置可以通过以下两种设置方式更改组策略的继承性 阻止继承子容器可以设置阻止继承以便让子容器自身的组策略设置生效(如图) 禁止覆盖当您想使某个组策略的设置不被后执行的组策略的设置所覆盖可以使用组策略的禁止覆盖功能如图当Sales_GPO的设置与后执行的组策略设置产生沖突时由于Sales_GPO策略已被设置成禁止覆盖了所以Sales_GPO的设置生效 图 禁止覆盖 图 组策略环回处理 第四组策略的环回处理技术在组策略中有计算机配置和用户配置两个节点计算机的启动时应用的是计算机配置用户在登录时应用的是用户配置当一台计算机由多个用户使用时为保证不论哪一个用户登录此计算机配置一致可以使用组策略的环回处理技术(如图) 有两种模式 合并将计算机配置和用户配置合并后作用 替换用计算机配置替换用户配置 最后在使用组策略防止沖突的小技巧就是利用OU的单一管理性在创建OU时为企业内的每个部门创建两个OU一个用来存储该部门的计算机账户另一个用来存储该部门的用户账户这样可以减少组策略设置的沖突 |