06
2023
05
09:37:18

AD域组策略应用 “强制生效”会覆盖“阻止继承”设置

一、组策略概述。


组策略的优点:


①减小管理成本


②减小用户单独配置错误的可能性


③可以针对特定对象设置特定的策略


组策略对象:


GPO (Group Policy Object)的概念


存储组策略的所有配置信息


AD中的一种特殊对象


默认GPO


1、默认域策略


(1)本地安全策略与默认域策略有冲突,以默认域策略优先,本地设置无效。


(2)本地计算机何时才会应用在域策略内有变动的设置呢?


本地安全策略有变动时;


本地计算机重启时;


DC每5分钟自动应用;


不是DC每隔90-120分钟会自动应用;


所有计算机每隔16小时强制应用,即使无更改。


手动应用域策略:gpupdate或gpupdate /force


2、默认域控制器策略


只影响到位于Domain Controllers内的域控制器,不影响其他组织单元或容器内的计算机和用户


所有位于Domain Controllers内的DC都会受域控制器安全策略的影响。


默认域策略与域控制器安全策略冲突时,对于DC来说默认域控制器策略优先,域安全策略无效。


GPO链接


只能链接到站点、域、OU


站点的概念 :


活动目录中的站点是从物理上抽象的概念


由一个或几个通过高速链路连接在一起的IP子网组成


站点和域的关系:


一个站点中可以有多个域


一个域中可以有多个站点


站点的主要作用:


优化复制


使用户能够使用可靠、高速的连接登录到域控制器上


域内的策略:在域内可以针对站点、域或组织单元来设置组策略,其中的域组策略内的设置会被应用到域内所有计算机与用户,而组织单元的组策略会被应用到该组织单元内的所有计算机与用户。


对于加入到域的计算机来说,如果两者有冲突,以域或组织单元组策略的设置优先,本地策略无效。


打开方式:运行gpedit.msc命令


二、创建组策略。


组策略内的设置分为:策略、首选项


     只有域内的组策略才有首选项功能,本地计算机策略无此功能。


     首选项非强制性,客户端可更改设置,策略设置是强制性,客户端无法更改。


     策略设置若要在客户端发生作用,客户计算机的操作系统或应用程序必须支持组策略,首选项不需要。


     若要筛选策略设置,必须针对整个GPO来筛选,而首选项可以针对单一设置项目来设置。


三、组策略应用规则。


组策略应用顺序LSDOU:本地组策略->站点->域->OU


如果在一个对象上存在多个GPO策略,那么按照GPO策略编号从高往低执行,最后执行的策略生效。


所有的策略应用都需要遵循以下几种规则:


①继承与组织。


下级容器默认会继承来自上级容器的GPO


子容器可以阻止继承上级容器的GPO




 ②累加与冲突。



③强制生效。


上级容器强制下级容器执行其GPO设置


“强制生效”会覆盖“阻止继承”设置


 57fff95e053cf5ee52c98ec9f2c1af66_7faf0db0b1fa415bb0e3444c1796e81a.png


④筛选。 


可阻止一个GPO应用于容器内的特定计算机或用户


让特定的对象应用组策略


筛选的配置方法:


1.选中OU下的GPO


2.点击GPO中的"委派"


3.点击右下角"高级"


4.点击"添加"


5.添加要排除的用户并在权限栏中,选择"应用组策略"--->"拒绝"

————————————————

版权声明:本文为CSDN博主「一只雪梨干」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/m0_50818626/article/details/129860594




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/4058.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: