实现 GPO 作用域和继承

  • 7 分钟

GPO 中的策略设置定义配置。 但在 GPO 中的配置更改将影响组织中的计算机或用户之前,必须指定要应用 GPO 的计算机或用户。 这称为确定 GPO 的作用域。 GPO 的作用域是将应用 GPO 中的设置的用户和计算机的集合。

重要

可以通过将 GPO 链接到包含目标用户和计算机的 OU 来确定 GPO 的作用域。

确定 GPO 的作用域

可以使用多种方法来管理基于域的 GPO 的作用域。 第一个是 GPO 链接。 在 AD DS 中,可以将 GPO 链接到:

  • 网站
  • 域名
  • OU

然后,站点、域或 OU 就会成为 GPO 的最大作用域。 GPO 中策略设置指定的配置会影响站点、域或 OU 中的所有计算机和用户(包括子 OU 中的计算机和用户)。 可以将 GPO 链接到多个域、OU 或站点。

谨慎

将 GPO 链接到多域林中的多个站点可能会在应用策略时导致性能问题,因此在这种情况下,应避免将 GPO 链接到多个站点。 这是因为,在多林多站点网络中,GPO 存储在创建了 GPO 的域中的域控制器上。 后果是其他域中的计算机可能需要遍历慢速广域网 (WAN) 链接来获取 GPO。

你可以使用下表中讨论的两种类型的筛选器中的一种来进一步缩小 GPO 的作用域。

滤波器

说明

安全性

这些筛选器指定了与 GPO 的作用域相关,但 GPO 明确表示应该或不应该适用的安全组对象或者单个用户或计算机对象。

WMI

这些筛选器使用系统的特征(如操作系统版本或可用磁盘空间)来指定作用域。

组策略管理控制台的屏幕截图。管理员已选择与营销组织单元(OU)关联的组策略对象(GPO)。在详细信息窗格中显示的是一个名为“Windows 10 设备”的 WMI 筛选器,以及设置为“营销”组的安全筛选器。

使用安全筛选器和 WMI 筛选器在 GPO 链接创建的初始作用域内缩小或指定作用域。 下面是 WMI 筛选器的一个示例,它会生成运行 Windows 10 的计算机的列表。

select * from Win32_OperatingSystem where Version like "10.%"

GPO 处理顺序

应用于用户和/或计算机的 GPO 不会立即应用。 GPO 按特定的顺序应用。 稍后处理的冲突设置可能会覆盖首先处理的设置。

组策略遵循以下分层处理顺序:

  1. 本地 GPO。
  2. 站点链接的 GPO。
  3. 域链接的 GPO。
  4. OU 链接的 GPO。
  5. 子 OU 链接的 GPO。

重要

在组策略的应用中,默认规则是以最后应用的策略(最具体的策略)为准。

例如,在域级别应用的仅限访问控制面板的策略可能会被在 OU 级别为该特定 OU 中包含的对象应用的策略替代。

如果将多个 GPO 链接到一个 OU,则处理顺序将遵从管理员在组策略管理控制台中 OU 的“链接组策略对象”选项卡上指定的顺序。 默认情况下,所有 GPO 链接都会启用处理。 可以禁用容器的 GPO 链接,以完全阻止对某个给定域或 OU 应用 GPO。 例如,如果你最近更改了某个 GPO,这导致了生产问题,则可以禁用该链接,直到问题解决为止。

注释

请注意,如果 GPO 链接到其他容器,并且这些链接处于启用状态,它们将继续处理 GPO。

你还可以独立于用户或计算机禁用特定 GPO 的用户或计算机配置。 如果已知策略的一个部分为空,禁用其他部分会稍微提高策略处理速度。 例如,如果策略只传递用户桌面配置,则可以禁用该策略的计算机部分。

GPO 继承

可以在多个 GPO 中配置策略设置,这可能会导致 GPO 相互冲突。 在这种情况下,GPO 的优先级决定了客户端应用的策略设置。 优先级较高的 GPO 优先于优先级较低的 GPO。 优先级按数值确定。 每个 GPO 都具有优先值。 数值越小,优先级越高。 因此,优先值为 1 的 GPO 优先于所有其他 GPO。

组策略的默认行为是由较低级别的容器继承链接到更高级别容器的 GPO。 当计算机启动或用户登录时,组策略客户端扩展会检查 AD DS 中计算机或用户对象的位置,并评估包含计算机或用户的作用域的 GPO。 然后,客户端扩展将应用这些 GPO 中的策略设置。 策略按顺序应用,首先应用链接到站点的策略,然后是链接到域的策略,最后是链接到 OU 的策略。 像这样依序应用 GPO 会产生一个名为策略继承的效应。 策略是继承的,这意味着用户或计算机的策略结果集 (RSoPs) 将是站点、域和 OU 策略的累积效应。

阻止继承

可以将域或 OU 配置为阻止继承策略设置。 这称为阻止继承。 若要阻止继承,请在 GPMC 控制台树中右键单击或访问域或 OU 的上下文菜单,然后选择“阻止继承”

组策略管理控制台中市场营销 OU 的上下文菜单的屏幕截图。管理员已选择“阻止继承”。

“阻止继承”选项是容器的一个属性,因此它会阻止链接到组策略父级层次结构的 GPO 中的所有组策略设置。

谨慎

请慎用“阻止继承”选项,因为阻止继承会使评估组策略优先级和继承更加困难。

小窍门

通过安全组筛选,可以仔细确定 GPO 的作用域,使其首先仅适用于合适的用户和计算机,从而不需要使用“阻止继承”选项。

此外,还可以设置要强制实施的 GPO 链接。 若要强制实施 GPO 链接,请在控制台树中右键单击或访问该 GPO 链接的上下文菜单,然后从快捷菜单中选择“强制”

组策略管理控制台中 Contoso 域安全设置 GPO 的上下文菜单的屏幕截图。管理员已选择“强制”。

将 GPO 链接设置为“强制”时,GPO 将采用最高的优先级。 此 GPO 中的策略设置优先于其他 GPO 中任何冲突的策略设置。

重要

即使将子容器设置为“阻止继承”,也会将强制链接应用到这些容器。 “强制”选项会使策略应用于其作用域内的所有对象。

当必须配置一个 GPO 来定义企业 IT 安全性和使用情况策略所规定的配置时,强制实施非常有用。 因此,需要确保链接到相同或较低级别的其他 GPO 不会覆盖这些设置。 可以通过强制实施 GPO 的链接来执行此操作。

评估优先级

为了便于评估 GPO 优先级,只需选择一个 OU 或域,然后选择“组策略继承”选项卡。此选项卡显示 GPO 的结果优先级,详细说明了 GPO 链接、链接顺序、继承阻止和链接强制实施

组策略管理控制台的屏幕截图。管理员已为市场营销 OU 选择了“组策略继承”选项卡。将显示四个策略,其中两个策略是从域强制执行的。

重要

此选项卡未说明链接到站点、用于 GPO 安全性或 WMI 筛选的策略。