如何理解域控制器中組策略權限繼承問題

這篇文章給大家介紹如何理解域控制器中組策略權限繼承問題，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

域控制器中的組策略權限的繼承具體有什么問題呢

筆者在域控制器的組策略管理中，遇到的最頭疼的問題就是組策略權限的繼承問題。我們都知道，為了便于權限的設置，組策略的配置具有繼承的特性。也就是說，默認情況下，上級的配置會傳遞給下級，即使下面一級沒有這方面的權限，等等。故，在對企業網絡進行組策略管理之前，我們需要先明白組策略的這個繼承特性，才能夠在后續的管理中，事半功倍。否則的話，我們只會事倍功半。

假設名為現在有如下一個簡單的網絡架構。

在域OU設置中，有一個辦公文員的OU，其在組策略設置中，當系統登陸的時候，默認的用戶名是上次登陸的用戶。也就是說，在系統登陸的窗口中，會顯示出上次登陸的帳戶名。現在這個OU下面，還有一個名字為銷售人員的OU。在這種架構下，辦公文員OU稱為父OU，銷售人員的OU稱為子OU。

現在我們就來看看組策略是如何繼承的。

一、 銷售人員OU繼承辦公文員OU的組策略

如果父OU的配置了某個組策略，但其子OU沒有配置這個組策略，則父OU就會把這個子OU的組策略傳遞給子OU，從而實現組策略的繼承功能。這里要注意一個問題，就是這里的“子OU沒有配置這個組策略”，是指沒有配置過類似的組策略，如果配置過，不管是允許還是禁止，則都不會再發生組策略的繼承。

也就是說，如果辦公文員這個OU中，網絡管理員配置了一個組策略，在系統登陸的時候顯示上次登陸的用戶名。而若在其子OU銷售人員OU中，沒有對這個組策略進行任何的配置，(也許默認的情況下，利用域帳戶登陸的話，是不顯示上次登陸的用戶名)。此時，域控制器就會認為銷售人員OU中沒有對這個策略進行過配置，就會繼承辦公文員這個OU的組策略，在下次登陸的時候，顯示上一次登陸的域帳戶名。

并且，這個組策略的繼承還會一直延續下去。如在這個銷售人員組中，下面還有銷售一組、二組的OU時，這個辦公文員組的組策略就會一直傳遞給銷售一組、銷售二組等等。但是，這里要注意一點，就是我們在查看子OU的組策略的時候，是不會顯示父OU的組策略。也就是說，組策略繼承給銷售人員這個OU的時候，我們看其組策略的設置，其這個 “顯示上次登陸帳戶名”這個組策略，仍然沒有被配置。但是，其確確實實繼承了這個組策略。所以，這就給我們組策略維護的時候，有一定的迷惑度。

二、 銷售人員OU抵制辦公文員OU的組策略

上面我們都次強調，在組策略繼承中，必須子OU對應的組策略沒有經過默認配置的情況下，雖然其可能具有默認值，才能夠發生組策略的繼承事件。但是，若子OU對對應的組策略進行了設置，即使只是顯示的反應其默認值，這這個繼承就會被打斷。

利用官方的話說，就是如果子容器內的某個策略被配置，則此配置值就會覆蓋由其父容器所傳遞下來的配置值。這句話有兩個意思。

一是當父OU配置了某個組策略，而子OU也配置了這個組策略，則無論這兩個組策略是否一致，則子OU都不會繼承父OU的這個組策略。也就是說，若子OU的組策略配置即使跟父OU的組策略配置是一樣的，其也是直接使用自己的組策略，而不會去關心父OU的組策略倒是是如何配置的。若他們的組策略配置相互矛盾，則子OU更加不會理睬父OU的組策略。兒子大了，做老爸的也管不住了。

二是若父OU配置了某個組策略，而當時子OU還沒有對這個組策略配置過，則子OU會繼承這個父OU。但是，后來網絡管理員發現子OU不能采用這個組策略，就在子OU的組策略中重新設置了。此時，這個重新設置的值就會覆蓋父OU組策略傳遞下來的值。

下面筆者就舉一個例子來加深大家對這個原則的理解。

假設，在父OU辦公文員這個組上，我們網絡管理員出于安全方面的考慮，設置了一個“禁止在桌面上顯示網絡鄰居”的組策略。此時，若子OU銷售管理員組一開始就設置了這個組策略，不管其是禁止還是允許，則子OU都不會考慮繼承父OU的這個組策略。也就是說，當兒子的有了自己的注意之后，就不會聽老子的話了。若子OU剛開始沒有配置這個組組策略，則當銷售管理員這個OU加入到辦公文員這個OU中后，則其就會繼承父OU的這個組策略。但是，后來網絡管理員出于某些考慮，在子OU這個組策略上，設置為“允許在桌面上顯示網絡鄰居”，此時這個配置值就會覆蓋掉原有的父OU繼承下來的配置值。

以上兩個原則就是組策略繼承中的兩個基本定律。在實際工作中，除了以上的這些規則外，還需要知道一些不成文的規定，或者叫做優先性問題。

1、 計算機配置與用戶配置的優先性問題

域中的組策略，跟計算機本身的組策略一樣，也有計算機配置與用戶配置兩類。現在萬一出現這種情況，如果我們不小心在配置組策略的時候，計算機配置與用戶配置起了沖突，該怎么處理呢?

一般情況下，系統是 以計算機配置優先，而不管計算機配置與用戶配置的先后性問題。也就是說，在計算機配置中，配置了“禁止在桌面上顯示網絡鄰居”的組策略，而在用戶配置中，又設置其為允許的。此時，雖然用戶配置在后，但是，用戶登錄后，在桌面上仍然找不到網絡鄰居的配置。可見，計算機配置要比用戶配置優先性高。

所以，為了避免后續工作的麻煩，網絡管理員在配置組策略的時候，***就采用單一的配置模式，要么通過用戶配置來實現，要么通過計算機配置來實現。不過，一般情況下，在用戶人手一臺主機的情況下，還是建議通過計算機配置來實現組策略。

2、 組策略的累加問題

在上面的闡述中，筆者已經談到了組策略繼承中的累積問題。也就是說，如果用戶的組其有三層，分別為辦公文員、銷售管理與銷售一組三個OU。而銷售一組這個相當于是孫子，其會繼承所有辦公文員、銷售管理OU中的組策略，當然，前期是銷售二組的OU沒有配置對應的組策略。這個組策略的累加問題，在某些方面有利于我們組策略的配置。但是，凡事有利必有弊，當權限累加的多了，則我們后續管理會非常的麻煩。為此，筆者建議，在規劃OU層次的時候，不要太多，一般情況下，不要超過三層。若超過這個層數，達到四層、五層甚至更多，則作為網絡管理人員，就很難控制這個權限的累加問題。

3、 本地計算機策略與OU組策略的優先性問題

我們都知道，在用戶本機也可以配置組策略，來管理計算機。在以前的文章中，筆者也談到過類似的問題。現在企業若引入了域控制器的話，則就會產生一個新的問題。如果域控制器，如OU的組策略與用戶本機的組策略相沖突的話，則該如何處理呢?

如在企業還沒有采用域控制器或者沒有采用域組策略管理之前，就通過計算機的本地組策略來進行計算機管理，如在本地計算機組策略中，設置了“禁止在桌面上顯示網絡鄰居” 的組策略。但是，在使用域管理后，網絡管理員覺得在桌面上沒有顯示網絡鄰居非常的不方便，所以，就在域級別上，設置了允許在桌面上顯示網絡鄰居這個組策略。當計算機加入到這個域之后，本級計算機組策略與域計算機組策略就發生了沖突。在這種情況下，是域組策略優先。

這跟上面提到的子OU拒絕父OU的組策略是有區別的，我們在組策略管理的時候，需要注意這個問題。

4、 子OU拒絕繼承父OU的組策略

在組策略的管理中，我們還可以通過設置實現，子OU無論在什么情況下，都拒絕繼承父OU的組策略。也就是說，直接采用子OU的組策略值，當子OU某些組策略沒有配置的話，就直接使用默認值。

也就是說，現在有個辦公文員的OU，其設置了“禁止在桌面上顯示網絡鄰居”這個組策略。若我們在建立銷售管理人員OU的時候，設置了“阻止策略繼承”，則當我們把銷售管理人員OU加入到辦公文員OU中，則銷售管理人員這個OU是不會繼承父OU中的任何一個組策略的。即使，銷售人員OU根本沒有配置“在桌面上顯示網絡鄰居”這個組策略，其仍然是采用默認值。

不管一般情況下，我們是不建議采用這個“阻止策略繼承”選項的，因為如此的話，我們就需要在子OU上，一個一個的配置了。這么處理起來的話，就會增加工作量。只有在子OU跟父OU組策略相差十萬八千里的情況下，才使用這個策略。當稍有差異的時候，我們可以在子OU上通過配置對應的組策略來覆蓋上面繼承下來的值，而不需要通過采用“阻止策略繼承”的極端方法來實現。

關于如何理解域控制器中組策略權限繼承問題就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。