如何理解域控制器中組策略權(quán)限繼承問題

這篇文章給大家介紹如何理解域控制器中組策略權(quán)限繼承問題，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

域控制器中的組策略權(quán)限的繼承具體有什么問題呢

筆者在域控制器的組策略管理中，遇到的最頭疼的問題就是組策略權(quán)限的繼承問題。我們都知道，為了便于權(quán)限的設(shè)置，組策略的配置具有繼承的特性。也就是說，默認(rèn)情況下，上級(jí)的配置會(huì)傳遞給下級(jí)，即使下面一級(jí)沒有這方面的權(quán)限，等等。故，在對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行組策略管理之前，我們需要先明白組策略的這個(gè)繼承特性，才能夠在后續(xù)的管理中，事半功倍。否則的話，我們只會(huì)事倍功半。

假設(shè)名為現(xiàn)在有如下一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)架構(gòu)。

在域OU設(shè)置中，有一個(gè)辦公文員的OU，其在組策略設(shè)置中，當(dāng)系統(tǒng)登陸的時(shí)候，默認(rèn)的用戶名是上次登陸的用戶。也就是說，在系統(tǒng)登陸的窗口中，會(huì)顯示出上次登陸的帳戶名?，F(xiàn)在這個(gè)OU下面，還有一個(gè)名字為銷售人員的OU。在這種架構(gòu)下，辦公文員OU稱為父OU，銷售人員的OU稱為子OU。

現(xiàn)在我們就來看看組策略是如何繼承的。

一、 銷售人員OU繼承辦公文員OU的組策略

如果父OU的配置了某個(gè)組策略，但其子OU沒有配置這個(gè)組策略，則父OU就會(huì)把這個(gè)子OU的組策略傳遞給子OU，從而實(shí)現(xiàn)組策略的繼承功能。這里要注意一個(gè)問題，就是這里的“子OU沒有配置這個(gè)組策略”，是指沒有配置過類似的組策略，如果配置過，不管是允許還是禁止，則都不會(huì)再發(fā)生組策略的繼承。

也就是說，如果辦公文員這個(gè)OU中，網(wǎng)絡(luò)管理員配置了一個(gè)組策略，在系統(tǒng)登陸的時(shí)候顯示上次登陸的用戶名。而若在其子OU銷售人員OU中，沒有對(duì)這個(gè)組策略進(jìn)行任何的配置，(也許默認(rèn)的情況下，利用域帳戶登陸的話，是不顯示上次登陸的用戶名)。此時(shí)，域控制器就會(huì)認(rèn)為銷售人員OU中沒有對(duì)這個(gè)策略進(jìn)行過配置，就會(huì)繼承辦公文員這個(gè)OU的組策略，在下次登陸的時(shí)候，顯示上一次登陸的域帳戶名。

并且，這個(gè)組策略的繼承還會(huì)一直延續(xù)下去。如在這個(gè)銷售人員組中，下面還有銷售一組、二組的OU時(shí)，這個(gè)辦公文員組的組策略就會(huì)一直傳遞給銷售一組、銷售二組等等。但是，這里要注意一點(diǎn)，就是我們?cè)诓榭醋覱U的組策略的時(shí)候，是不會(huì)顯示父OU的組策略。也就是說，組策略繼承給銷售人員這個(gè)OU的時(shí)候，我們看其組策略的設(shè)置，其這個(gè) “顯示上次登陸帳戶名”這個(gè)組策略，仍然沒有被配置。但是，其確確實(shí)實(shí)繼承了這個(gè)組策略。所以，這就給我們組策略維護(hù)的時(shí)候，有一定的迷惑度。

二、 銷售人員OU抵制辦公文員OU的組策略

上面我們都次強(qiáng)調(diào)，在組策略繼承中，必須子OU對(duì)應(yīng)的組策略沒有經(jīng)過默認(rèn)配置的情況下，雖然其可能具有默認(rèn)值，才能夠發(fā)生組策略的繼承事件。但是，若子OU對(duì)對(duì)應(yīng)的組策略進(jìn)行了設(shè)置，即使只是顯示的反應(yīng)其默認(rèn)值，這這個(gè)繼承就會(huì)被打斷。

利用官方的話說，就是如果子容器內(nèi)的某個(gè)策略被配置，則此配置值就會(huì)覆蓋由其父容器所傳遞下來的配置值。這句話有兩個(gè)意思。

一是當(dāng)父OU配置了某個(gè)組策略，而子OU也配置了這個(gè)組策略，則無論這兩個(gè)組策略是否一致，則子OU都不會(huì)繼承父OU的這個(gè)組策略。也就是說，若子OU的組策略配置即使跟父OU的組策略配置是一樣的，其也是直接使用自己的組策略，而不會(huì)去關(guān)心父OU的組策略倒是是如何配置的。若他們的組策略配置相互矛盾，則子OU更加不會(huì)理睬父OU的組策略。兒子大了，做老爸的也管不住了。

二是若父OU配置了某個(gè)組策略，而當(dāng)時(shí)子OU還沒有對(duì)這個(gè)組策略配置過，則子OU會(huì)繼承這個(gè)父OU。但是，后來網(wǎng)絡(luò)管理員發(fā)現(xiàn)子OU不能采用這個(gè)組策略，就在子OU的組策略中重新設(shè)置了。此時(shí)，這個(gè)重新設(shè)置的值就會(huì)覆蓋父OU組策略傳遞下來的值。

下面筆者就舉一個(gè)例子來加深大家對(duì)這個(gè)原則的理解。

假設(shè)，在父OU辦公文員這個(gè)組上，我們網(wǎng)絡(luò)管理員出于安全方面的考慮，設(shè)置了一個(gè)“禁止在桌面上顯示網(wǎng)絡(luò)鄰居”的組策略。此時(shí)，若子OU銷售管理員組一開始就設(shè)置了這個(gè)組策略，不管其是禁止還是允許，則子OU都不會(huì)考慮繼承父OU的這個(gè)組策略。也就是說，當(dāng)兒子的有了自己的注意之后，就不會(huì)聽老子的話了。若子OU剛開始沒有配置這個(gè)組組策略，則當(dāng)銷售管理員這個(gè)OU加入到辦公文員這個(gè)OU中后，則其就會(huì)繼承父OU的這個(gè)組策略。但是，后來網(wǎng)絡(luò)管理員出于某些考慮，在子OU這個(gè)組策略上，設(shè)置為“允許在桌面上顯示網(wǎng)絡(luò)鄰居”，此時(shí)這個(gè)配置值就會(huì)覆蓋掉原有的父OU繼承下來的配置值。

以上兩個(gè)原則就是組策略繼承中的兩個(gè)基本定律。在實(shí)際工作中，除了以上的這些規(guī)則外，還需要知道一些不成文的規(guī)定，或者叫做優(yōu)先性問題。

1、 計(jì)算機(jī)配置與用戶配置的優(yōu)先性問題

域中的組策略，跟計(jì)算機(jī)本身的組策略一樣，也有計(jì)算機(jī)配置與用戶配置兩類?，F(xiàn)在萬一出現(xiàn)這種情況，如果我們不小心在配置組策略的時(shí)候，計(jì)算機(jī)配置與用戶配置起了沖突，該怎么處理呢?

一般情況下，系統(tǒng)是 以計(jì)算機(jī)配置優(yōu)先，而不管計(jì)算機(jī)配置與用戶配置的先后性問題。也就是說，在計(jì)算機(jī)配置中，配置了“禁止在桌面上顯示網(wǎng)絡(luò)鄰居”的組策略，而在用戶配置中，又設(shè)置其為允許的。此時(shí)，雖然用戶配置在后，但是，用戶登錄后，在桌面上仍然找不到網(wǎng)絡(luò)鄰居的配置?？梢?，計(jì)算機(jī)配置要比用戶配置優(yōu)先性高。

所以，為了避免后續(xù)工作的麻煩，網(wǎng)絡(luò)管理員在配置組策略的時(shí)候，***就采用單一的配置模式，要么通過用戶配置來實(shí)現(xiàn)，要么通過計(jì)算機(jī)配置來實(shí)現(xiàn)。不過，一般情況下，在用戶人手一臺(tái)主機(jī)的情況下，還是建議通過計(jì)算機(jī)配置來實(shí)現(xiàn)組策略。

2、 組策略的累加問題

在上面的闡述中，筆者已經(jīng)談到了組策略繼承中的累積問題。也就是說，如果用戶的組其有三層，分別為辦公文員、銷售管理與銷售一組三個(gè)OU。而銷售一組這個(gè)相當(dāng)于是孫子，其會(huì)繼承所有辦公文員、銷售管理OU中的組策略，當(dāng)然，前期是銷售二組的OU沒有配置對(duì)應(yīng)的組策略。這個(gè)組策略的累加問題，在某些方面有利于我們組策略的配置。但是，凡事有利必有弊，當(dāng)權(quán)限累加的多了，則我們后續(xù)管理會(huì)非常的麻煩。為此，筆者建議，在規(guī)劃OU層次的時(shí)候，不要太多，一般情況下，不要超過三層。若超過這個(gè)層數(shù)，達(dá)到四層、五層甚至更多，則作為網(wǎng)絡(luò)管理人員，就很難控制這個(gè)權(quán)限的累加問題。

3、 本地計(jì)算機(jī)策略與OU組策略的優(yōu)先性問題

我們都知道，在用戶本機(jī)也可以配置組策略，來管理計(jì)算機(jī)。在以前的文章中，筆者也談到過類似的問題?，F(xiàn)在企業(yè)若引入了域控制器的話，則就會(huì)產(chǎn)生一個(gè)新的問題。如果域控制器，如OU的組策略與用戶本機(jī)的組策略相沖突的話，則該如何處理呢?

如在企業(yè)還沒有采用域控制器或者沒有采用域組策略管理之前，就通過計(jì)算機(jī)的本地組策略來進(jìn)行計(jì)算機(jī)管理，如在本地計(jì)算機(jī)組策略中，設(shè)置了“禁止在桌面上顯示網(wǎng)絡(luò)鄰居” 的組策略。但是，在使用域管理后，網(wǎng)絡(luò)管理員覺得在桌面上沒有顯示網(wǎng)絡(luò)鄰居非常的不方便，所以，就在域級(jí)別上，設(shè)置了允許在桌面上顯示網(wǎng)絡(luò)鄰居這個(gè)組策略。當(dāng)計(jì)算機(jī)加入到這個(gè)域之后，本級(jí)計(jì)算機(jī)組策略與域計(jì)算機(jī)組策略就發(fā)生了沖突。在這種情況下，是域組策略優(yōu)先。

這跟上面提到的子OU拒絕父OU的組策略是有區(qū)別的，我們?cè)诮M策略管理的時(shí)候，需要注意這個(gè)問題。

4、 子OU拒絕繼承父OU的組策略

在組策略的管理中，我們還可以通過設(shè)置實(shí)現(xiàn)，子OU無論在什么情況下，都拒絕繼承父OU的組策略。也就是說，直接采用子OU的組策略值，當(dāng)子OU某些組策略沒有配置的話，就直接使用默認(rèn)值。

也就是說，現(xiàn)在有個(gè)辦公文員的OU，其設(shè)置了“禁止在桌面上顯示網(wǎng)絡(luò)鄰居”這個(gè)組策略。若我們?cè)诮N售管理人員OU的時(shí)候，設(shè)置了“阻止策略繼承”，則當(dāng)我們把銷售管理人員OU加入到辦公文員OU中，則銷售管理人員這個(gè)OU是不會(huì)繼承父OU中的任何一個(gè)組策略的。即使，銷售人員OU根本沒有配置“在桌面上顯示網(wǎng)絡(luò)鄰居”這個(gè)組策略，其仍然是采用默認(rèn)值。

不管一般情況下，我們是不建議采用這個(gè)“阻止策略繼承”選項(xiàng)的，因?yàn)槿绱说脑?，我們就需要在子OU上，一個(gè)一個(gè)的配置了。這么處理起來的話，就會(huì)增加工作量。只有在子OU跟父OU組策略相差十萬八千里的情況下，才使用這個(gè)策略。當(dāng)稍有差異的時(shí)候，我們可以在子OU上通過配置對(duì)應(yīng)的組策略來覆蓋上面繼承下來的值，而不需要通過采用“阻止策略繼承”的極端方法來實(shí)現(xiàn)。

關(guān)于如何理解域控制器中組策略權(quán)限繼承問題就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。