首页 > 学院 > 基础常识 > 正文

组策略管理的难点之继承问题

2020-04-27 19:02:50
字体:
来源:转载
供稿:网友

 笔者在域控制器的组策略管理中,遇到的最头疼的问题就是组策略权限的继承问题。我们都知道,为了便于权限的设置,组策略的配置具有继承的特性。也就是说,默认情况下,上级的配置会传递给下级,即使下面一级没有这方面的权限,等等。故,在对企业网络进行组策略管理之前,我们需要先明白组策略的这个继承特性,才能够在后续的管理中,事半功倍。否则的话,我们只会事倍功半。

  假设名为现在有如下一个简单的网络架构。

  在域OU设置中,有一个办公文员的OU,其在组策略设置中,当系统登陆的时候,默认的用户名是上次登陆的用户。也就是说,在系统登陆的窗口中,会显示出上次登陆的帐户名。现在这个OU下面,还有一个名字为销售人员的OU。在这种架构下,办公文员OU称为父OU,销售人员的OU称为子OU。

  现在我们就来看看组策略是如何继承的。

  一、 销售人员OU继承办公文员OU的组策略

  如果父OU的配置了某个组策略,但其子OU没有配置这个组策略,则父OU就会把这个子OU的组策略传递给子OU,从而实现组策略的继承功能。这里要注意一个问题,就是这里的“子OU没有配置这个组策略”,是指没有配置过类似的组策略,如果配置过,不管是允许还是禁止,则都不会再发生组策略的继承。

  也就是说,如果办公文员这个OU中,网络管理员配置了一个组策略,在系统登陆的时候显示上次登陆的用户名。而若在其子OU销售人员OU中,没有对这个组策略进行任何的配置,(也许默认的情况下,利用域帐户登陆的话,是不显示上次登陆的用户名)。此时,域控制器就会认为销售人员OU中没有对这个策略进行过配置,就会继承办公文员这个OU的组策略,在下次登陆的时候,显示上一次登陆的域帐户名。

  并且,这个组策略的继承还会一直延续下去。如在这个销售人员组中,下面还有销售一组、二组的OU时,这个办公文员组的组策略就会一直传递给销售一组、销售二组等等。但是,这里要注意一点,就是我们在查看子OU的组策略的时候,是不会显示父OU的组策略。也就是说,组策略继承给销售人员这个OU的时候,我们看其组策略的设置,其这个 “显示上次登陆帐户名”这个组策略,仍然没有被配置。但是,其确确实实继承了这个组策略。所以,这就给我们组策略维护的时候,有一定的迷惑度。

  二、 销售人员OU抵制办公文员OU的组策略

  上面我们都次强调,在组策略继承中,必须子OU对应的组策略没有经过默认配置的情况下,虽然其可能具有默认值,才能够发生组策略的继承事件。但是,若子OU对对应的组策略进行了设置,即使只是显示的反应其默认值,这这个继承就会被打断。
(责任编辑:武林网)

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表