出處: http://bigpxuan.blogspot.com/2015/10/windows.html
Windows群組原則的優先權
Windows Group Policy processing and precedence
簡介
Windows可以從很多地方建立Group Policy (後稱GP)當多個GP對同一台電腦設定規則時,要如何知道那個GP優先權最高 ?
Windows採取的衝突原則
Windows 採用 Last writer win即後面寫入的原則,會覆蓋前面的原則
也就是越早執行原則,優先權越低
目錄
Group PolicyGP的執行順序
相同層級的執行順序
電腦原則和使用者原則
優先權順序圖例
優先權順序例子
Group Policy
GP的主要用途是設定電腦或使用者可以使用的功能或權限最常用到的地方就是AD的環境中,幫大量的電腦設定原則
而最常使用設定介面不外乎一個是 Local 的GP,另一個是網域上的GP
網域上使用GP的地方有Site、Domain、OU,每一個地方都可以套用好幾個GP
我們常常在網域上套用好幾個GP,本機也有一個GP,到底這些GP是如何比較出誰先誰後呢
GP的執行順序
Local-Site-Domain-OU(subOU-subsubOU…)最早執行的GP是本機的群組原則,其次是Site,再來是Domain,最後是OU
OU的架構屬階層式,其中父OU會先執行,然後才是底下的子OU
因此執行順序是
L -> S -> D -> OU -> subOU -> subsubOU ….. (subOU就是子OU)
優先權剛好與執行順序相反,優先權是
subsubOU -> subOU -> OU -> D -> S -> L
相同層級的執行順序
如果在同一個Domain(site或OU)上建立多筆GP,執行順序又會是如何 ?
我們可以在 Link Group Policy Objects 修改執行順序
在序列中,越上面的越早執行,也就代表優先權越低
其原理同樣適用於Site、Domain、OU
電腦原則和使用者原則
一個原則裡面又分成電腦原則和使用者原則電腦原則和使用者原則之間有些原則是相同的,而有些是不同的
相同的部分,其優先權是電腦 > 使用者
也就是電腦原則優先於使用者原則
優先權順序圖例
從下圖可以知道GP的優先權順序(越下面越高)圖中越上面的原則越早被執行
一開始原則設定為,X = 5 , Y = 4 , Z = 3
經過Domain的原則後,原則變為 X = 5 , Y = 1 , Z = 1
再經過名稱為Taipei的OU套用原則,原則變為 X = 5 , Y = 2 , Z = 1
最後子OU sales套用,原則變為 X = 5 , Y= 2 , Z = 7
沒有留言:
張貼留言