笔者在域控制器的组策略管理中遇到的最头疼的问题就是组策略权限的继承问题我们都知道为了便于权限的设置组策略的配置具有继承的特性也就是说默认情况下上级的配置会传递给下级即使下面一级没有这方面的权限等等故在对企业网络进行组策略管理之前我们需要先明白组策略的这个继承特性才能够在后续的管理中事半功倍否则的话我们只会事倍功半
假设名为现在有如下一个简单的网络架构
在域OU设置中有一个办公文员的OU其在组策略设置中当系统登陆的时候默认的用户名是上次登陆的用户也就是说在系统登陆的窗口中会显示出上次登陆的帐户名现在这个OU下面还有一个名字为销售人员的OU在这种架构下办公文员OU称为父OU销售人员的OU称为子OU
现在我们就来看看组策略是如何继承的
一 销售人员OU继承办公文员OU的组策略
如果父OU的配置了某个组策略但其子OU没有配置这个组策略则父OU就会把这个子OU的组策略传递给子OU从而实现组策略的继承功能这里要注意一个问题就是这里的子OU没有配置这个组策略是指没有配置过类似的组策略如果配置过不管是允许还是禁止则都不会再发生组策略的继承
也就是说如果办公文员这个OU中网络管理员配置了一个组策略在系统登陆的时候显示上次登陆的用户名而若在其子OU销售人员OU中没有对这个组策略进行任何的配置(也许默认的情况下利用域帐户登陆的话是不显示上次登陆的用户名)此时域控制器就会认为销售人员OU中没有对这个策略进行过配置就会继承办公文员这个OU的组策略在下次登陆的时候显示上一次登陆的域帐户名
并且这个组策略的继承还会一直延续下去如在这个销售人员组中下面还有销售一组二组的OU时这个办公文员组的组策略就会一直传递给销售一组销售二组等等但是这里要注意一点就是我们在查看子OU的组策略的时候是不会显示父OU的组策略也就是说组策略继承给销售人员这个OU的时候我们看其组策略的设置其这个 显示上次登陆帐户名这个组策略仍然没有被配置但是其确确实实继承了这个组策略所以这就给我们组策略维护的时候有一定的迷惑度
二 销售人员OU抵制办公文员OU的组策略
上面我们都次强调在组策略继承中必须子OU对应的组策略没有经过默认配置的情况下虽然其可能具有默认值才能够发生组策略的继承事件但是若子OU对对应的组策略进行了设置即使只是显示的反应其默认值这这个继承就会被打断
利用官方的话说就是如果子容器内的某个策略被配置则此配置值就会覆盖由其父容器所传递下来的配置值这句话有两个意思
一是当父OU配置了某个组策略而子OU也配置了这个组策略则无论这两个组策略是否一致则子OU都不会继承父OU的这个组策略也就是说若子OU的组策略配置即使跟父OU的组策略配置是一样的其也是直接使用自己的组策略而不会去关心父OU的组策略倒是是如何配置的若他们的组策略配置相互矛盾则子OU更加不会理睬父OU的组策略儿子大了做老爸的也管不住了
二是若父OU配置了某个组策略而当时子OU还没有对这个组策略配置过则子OU会继承这个父OU但是后来网络管理员发现子OU不能采用这个组策略就在子OU的组策略中重新设置了此时这个重新设置的值就会覆盖父OU组策略传递下来的值
下面笔者就举一个例子来加深大家对这个原则的理解
假设在父OU办公文员这个组上我们网络管理员出于安全方面的考虑设置了一个禁止在桌面上显示网络邻居的组策略此时若子OU销售管理员组一开始就设置了这个组策略不管其是禁止还是允许则子OU都不会考虑继承父OU的这个组策略也就是说当儿子的有了自己的注意之后就不会听老子的话了若子OU刚开始没有配置这个组组策略则当销售管理员这个OU加入到办公文员这个OU中后则其就会继承父OU的这个组策略但是后来网络管理员出于某些考虑在子OU这个组策略上设置为允许在桌面上显示网络邻居此时这个配置值就会覆盖掉原有的父OU继承下来的配置值
以上两个原则就是组策略继承中的两个基本定律在实际工作中除了以上的这些规则外还需要知道一些不成文的规定或者叫做优先性问题
计算机配置与用户配置的优先性问题
域中的组策略跟计算机本身的组策略一样也有计算机配置与用户配置两类现在万一出现这种情况如果我们不小心在配置组策略的时候计算机配置与用户配置起了沖突该怎么处理呢?
一般情况下系统是 以计算机配置优先而不管计算机配置与用户配置的先后性问题也就是说在计算机配置中配置了禁止在桌面上显示网络邻居的组策略而在用户配置中又设置其为允许的此时虽然用户配置在后但是用户登录后在桌面上仍然找不到网络邻居的配置可见计算机配置要比用户配置优先性高
所以为了避免后续工作的麻烦网络管理员在配置组策略的时候最好就采用单一的配置模式要么通过用户配置来实现要么通过计算机配置来实现不过一般情况下在用户人手一台主机的情况下还是建议通过计算机配置来实现组策略
组策略的累加问题
在上面的阐述中笔者已经谈到了组策略继承中的累积问题也就是说如果用户的组其有三层分别为办公文员销售管理与销售一组三个OU而销售一组这个相当于是孙子其会继承所有办公文员销售管理OU中的组策略当然前期是销售二组的OU没有配置对应的组策略这个组策略的累加问题在某些方面有利于我们组策略的配置但是凡事有利必有弊当权限累加的多了则我们后续管理会非常的麻烦为此笔者建议在规划OU层次的时候不要太多一般情况下不要超过三层若超过这个层数达到四层五层甚至更多则作为网络管理人员就很难控制这个权限的累加问题
本地计算机策略与OU组策略的优先性问题
我们都知道在用户本机也可以配置组策略来管理计算机在以前的文章中笔者也谈到过类似的问题现在企业若引入了域控制器的话则就会产生一个新的问题如果域控制器如OU的组策略与用户本机的组策略相沖突的话则该如何处理呢?
如在企业还没有采用域控制器或者没有采用域组策略管理之前就通过计算机的本地组策略来进行计算机管理如在本地计算机组策略中设置了禁止在桌面上显示网络邻居 的组策略但是在使用域管理后网络管理员觉得在桌面上没有显示网络邻居非常的不方便所以就在域级别上设置了允许在桌面上显示网络邻居这个组策略当计算机加入到这个域之后本级计算机组策略与域计算机组策略就发生了沖突在这种情况下是域组策略优先
这跟上面提到的子OU拒绝父OU的组策略是有区别的我们在组策略管理的时候需要注意这个问题
子OU拒绝继承父OU的组策略
在组策略的管理中我们还可以通过设置实现子OU无论在什么情况下都拒绝继承父OU的组策略也就是说直接采用子OU的组策略值当子OU某些组策略没有配置的话就直接使用默认值
也就是说现在有个办公文员的OU其设置了禁止在桌面上显示网络邻居这个组策略若我们在建立销售管理人员OU的时候设置了阻止策略继承则当我们把销售管理人员OU加入到办公文员OU中则销售管理人员这个OU是不会继承父OU中的任何一个组策略的即使销售人员OU根本没有配置在桌面上显示网络邻居这个组策略其仍然是采用默认值
不管一般情况下我们是不建议采用这个阻止策略继承选项的因为如此的话我们就需要在子OU上一个一个的配置了这么处理起来的话就会增加工作量只有在子OU跟父OU组策略相差十万八千里的情况下才使用这个策略当稍有差异的时候我们可以在子OU上通过配置对应的组策略来覆盖上面继承下来的值而不需要通过采用阻止策略继承的极端方法来实现
