您可以在组策略管理控制台中将一个或多个GPO链接添加到每个域、站点和部门中。默认情况下,子容器继承链接到Active Directory中更高容器(父容器)的GPO所部署的设置,这些设置可以与链接到子容器的GPO中部署的任何设置结合使用。如果多个GPO试图将某个设置设定为有冲突的值,则由具有最高优先级的GPO设定该设置。GPO处理基于最后写入者获胜模型(Last Writer Wins Model),之后处理的GPO比之前处理的GPO的优先级高。在本章前面介绍了,组策略对象是按以下顺序处理的:本地组策略对象(LGPO)→链接到站点的GPO→链接到域的GPO→链接到组织单位的GPO。对于嵌套的组织单位,先处理与父组织单位关联的GPO,然后再处理与子组织单位关联的GPO。

中文名

策略继承

策略继承

通常,组策略在域中从父“容器”向下传递给子“容器”,对此可以使用 Active Directory 用户和计算机管理单元进行查看。父“域”中的组策略不会被子“域”继承,例如从 wingtiptoys.com 到 sales.wingtiptoys.com。可以使用 Active Directory 域和信任关系管理单元管理这种类型的关系,它与组策略无关。

如果为一个高级别的父容器指派特定的组策略设置,则这个组策略适用于该父容器下的所有容器,包括每个容器中的用户和计算机对象。但是,如果您明确为某个子容器指定组策略设置,则子容器的组策略设置将覆盖父容器的设置。

如果父组织单位具有未配置的策略设置,则子组织单位将不会继承。禁用的策略设置继承后也是禁用的。此外,如果父组织单位已经配置某策略设置(启用或禁用),而子组织单位并未配置同一策略设置,则子组织单位继承父组织单位的启用或禁用的策略设置。

如果应用到父组织单位的策略设置与应用到子组织单位的策略设置兼容,则子组织单位就会继承父组织单位的策略设置,而且还会应用子组织单位的策略设置。

如果为父组织单位配置的策略设置与为子组织单位配置的同一策略设置不兼容(因为在某种情况下设置是启用的,而在另一种情况下设置是禁用的),子组织单位就不继承父组织单位的策略设置。子组织单位中的设置会得以应用。

阻止继承

可以在域或组织单位级别阻止策略继承,方法是打开域或组织单位的属性对话框,并选中“阻止策略继承”复选框。详细信息,请参阅阻止策略继承。

强迫继承

可以强迫策略继承,方法是在组策略对象链接上设置“禁止替代”选项。

选中“禁止替代”复选框后,就会强迫所有子策略容器继承父策略,即使这些策略与子策略相冲突,或者已为子容器设置了“阻止继承”选项,也是如此。

可以在组策略对象链接上设置“禁止替代”选项,方法是打开站点、域或组织单位的属性对话框,并确保选中“禁止替代”复选框。详细信息,请参阅防止组策略对象被覆盖。