Windows 组策略的生效规则
一般的继承与处理规则
- 若上层父ou的某个组策略项目被设定,但是其下层子ou未设定该项目,则下层子ou继承上层父ou的这个组策略项目设定值
- 若在下层子ou内的某个组策略项目被设定,则此设定值预设会覆盖由其上层父ou所继承的组策略项目设定值
- 组策略设定有累加性,但若站点、域与组织单位的gpo设定有冲突时,则组织单位的gpo最优先,域的gpo次之,站点的gpo优先权最低
- 若gpo中的计算机设定和用户设定有冲突,则已计算机设定优先
- 多个gpo备连接到同一处,则所有gpo的设定会累加一起作为最后的有效设定,若这些设定存在冲突,则以连接顺序在前面的gpo优先
- 本机gpo优先权最低
例外的继承设定
- 禁止继承原则
下层子ou不集成父ou的设定
- 强制继承原则
不论下层子ou是否选用了禁止继承,其下子ou必须集成父ou的gpo设定
- 筛选gpo设定
默认筛选为authenticated users组(身份经过确认的使用者),位于该ou的用户和电脑预 设对该组织单位的gpo都具有读取和应用组策略的权限(通过-选取组策略-委派-高级-选择authenticated users组查看)
若不想将该组策略应用到某位用户,在通过-选取组策略-委派-高级,添加用户并将应用组策略选择拒绝。
特殊的处理设定
- 强制处理gpo
gpupdate /force
或者 计算机配置-策略-管理模板-系统-组策略-配置软件安装策略处理-即使尚未更改组策略对象也机型处理
- 慢速链接的gpo处理
系统默认500kb/s位慢速链接,除配置登录策略处理、配置安全策略处理两个策略之外,其他策略都可以设定为慢速链接不套用
- 环回处理模式
此策略设置指示系统将计算机的组策略对象集应用到登录到受此设置影响的计算机上的任何用户。这专用于具有特殊用途的计算机,比如在公共场所、实验室和教室中使用的计算机;你必须根据正在使用的计算机修改用户设置。
默认情况下,用户的组策略对象确定应用哪些用户设置。如果启用此设置,则在用户登录到此计算机时,计算机的组策略对象将确定应用哪个组策略对象集。
如果启用此设置,则可从“模式”框中选择下列模式之一:
“替换”表示用这台计算机的组策略对象中定义的用户设置替换通常情况下应用于用户的用户设置。
“合并”表示将在这台计算机的组策略对象中定义的用户设置与通常情况下应用于用户的用户设置组合在一起。如果设置相冲突,则计算机的组策略对象中的用户设置优先于用户的通常设置。
如果禁用或未配置此设置,则用户的组策略对象将确定应用哪些用户设置。
注意: 只有当计算机帐户和用户帐户都位于 windows 2000 及以上版本的域中时,此设置才有效。
- 停用gpo
组策略取消已启用链接
编辑组策略-操作-属性-禁用计算机配置设置或禁用用户配置设置