域内计算机策略应用顺序

时间:2021-12-06 14:37:46

域内计算机策略应用顺序

组策略在应用的时候,系统应用顺序应该是:本机策略-站点策略-域策略-ou策略(dc策略),后执行的策略在冲突的情况下,覆盖前面的策略。也就是说,优先级是ou策略最高。因为dc默认在“domain cortroler”ou里面,所以也是后执行的。  
参考:mcse2000英文教材2152a modula9 第四页:
“Important: Group Policy settings are applied in the following order:local settings are applied first,followed by site,domain,and then OU settings.”
或者中文教材2152a 第311页  
组策略处理和优先级应用于用户(或计算机)的组策略对象 (GPO) 并不是全都具有相同的优先级。后面应用的设置可以覆盖先前应用的设置。

处理设置的顺序
本节提供有关处理用户和计算机组策略设置的顺序的详细信息。有关策略设置处理如何适合计算机启动和用户登录框架的信息,请参阅本主题中启动和登录中的第 3 步和第 8 步。

组策略设置按下列顺序处理:

本地组策略对象 - 每台计算机都只有一个在本地存储的组策略对象。它可用于计算机和用户的组策略处理。
站点 - 然后处理已链接到计算机所属站点的任何 GPO。处理顺序是由管理员在组策略管理控制台 (GPMC) 中站点的“链接的组策略对象”选项卡上指定的。具有最低“链接顺序”的 GPO 是被最后处理的,因此具有最高的优先级。
域 - 多个链接到域上的 GPO 的处理顺序是由管理员在 GPMC 中该域的“链接的组策略对象”选项卡上指定的。具有最低“链接顺序”的 GPO 是被最后处理的,因此具有最高的优先级。
部门 - 最先处理链接到 Active Directory 层次结构中最高层部门的 GPO,然后处理链接到其子部门的 GPO,依此类推。最后处理的是链接到包含该用户或计算机的部门的 GPO。
在 Active Directory 层次结构的每个部门级别中,可以链接一个、多个或不链接 GPO。如果几个 GPO 链接到一个部门上,则它们的处理顺序是由管理员在 GPMC 中该部门的“链接的组策略对象”选项卡上指定的。具有最低“链接顺序”的 GPO 是被最后处理的,因此具有最高的优先级。

此顺序意味着,先处理本地 GPO,最后处理链接到计算机或用户直接所属的部门的 GPO;如果最后的 GPO 设置与先前的 GPO 设置有冲突,则它覆盖先前 GPO 中的设置。(如果没有冲突,则合并先前和后面的设置即可。)