PnP*_*PnP 12 active-directory group-policy
强制 GPO 的优先级是什么,我真的找不到任何给出精确答案的 MS 文章。
我目前的理解如下:
假设我们有 5 个 GPO - GPO1 到 GP05。我将使用一个考试问题来放入上下文。
GPO Linked to Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 - Site 1 - Yes
GP04 - OU1 - No
GP05 - OU1 - Yes
现在我的理解意味着它们将按此顺序应用,从第一个应用到最后一个应用(因此具有最高优先级)。
GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)
我的理解正确吗?非常感谢!
Rya*_*ies 17
我在这里写过这个:http : //myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx
TL;DR - 也强制执行的最上层或父 GPO 将获胜。
来自微软:
您可以通过将该链接设置为强制,指定 GPO 链接中的设置应优先于任何子对象的设置。无法从父容器阻止强制执行的 GPO 链接。如果没有从上面强制执行,则更高级别(父级)的 GPO 链接设置将被链接到子组织单位的 GPO 中的设置覆盖,如果 GPO 包含冲突设置。通过强制,父 GPO 链接始终具有优先权。默认情况下,不强制执行 GPO 链接。
编辑:
参见此处:GPO 提供了意想不到的价值
在那里它特别指出:
强制设置是 Active Directory 容器和 GPO 之间链接的属性。它用于强制将该 GPO 用于容器内的所有 Active Directory 对象,无论它们嵌套多深。强制执行的 GPO 中的设置会覆盖其他会占优势的设置,因为它们会在以后应用。如果在层次结构的两个级别强制执行的 GPO 中存在冲突设置,则以离客户端最远的强制设置为准。这与通常的规则相反,在该规则中,来自最近链接的 GPO 的设置将占上风。
| 归档时间: |
|
| 查看次数: |
59453 次 |
| 最近记录: |