實作 GPO 的範圍和繼承
GPO 中的原則設定會定義組態。 不過,您必須先指定 GPO 要套用的電腦或使用者,然後 GPO 中的設定變更才會影響到您組織中的電腦或使用者。 此動作稱為界定 GPO 的範圍。 GPO 的範圍是指將會套用該 GPO 設定的用戶和電腦集合。
這很重要
您可以將 GPO 連結到包含目標使用者和電腦的 OU,以限定 GPO 的適用範圍。
GPO 範圍
您可以使用數種方法來管理網域型 GPO 的範圍。 第一個是 GPO 連結。 在 AD DS 中,您可以將 GPO 連結至:
- 網站
- 網域
- OU
網站、網域或 OU 接著會變成 GPO 的最大範圍。 GPO 中原則設定所指定的組態會影響網站、網域或 OU 內的所有電腦和使用者,包括子 OU 中的電腦和使用者。 您可以將 GPO 連結至多個網域、OU 或網站。
謹慎
將 GPO 連結至多個網域樹系中的多個網站可能會造成套用原則時的效能問題,因此您應該避免在此情況下將 GPO 連結到多個網站。 這是因為在多樹系多站台網路中,GPO 會儲存在 GPO 建立所在網域的域控制器上。 其後果是,其他網域中的計算機可能需要周遊較慢的廣域網 (WAN) 連結以取得 GPO。
您可以使用下表所討論的兩種篩選類型之一,進一步縮小 GPO 的範圍。
濾波器
描述
安全性
這些篩選會指定與 GPO 範圍相關的安全性群組、個別使用者或電腦物件,但是 GPO 應明確套用或不應套用到其中的物件。
WMI
這些會使用系統的特性來指定範圍,例如作系統版本或可用磁碟空間。
使用安全性篩選器和 WMI 篩選來縮小或指定 GPO 連結建立的初始範圍內的範圍。 以下是一個 WMI 篩選範例,可產生執行 Windows 10 的計算機清單。
select * from Win32_OperatingSystem where Version like "10.%"
GPO 處理順序
套用至使用者、電腦或這兩者的 GPO 都不會一次全部套用。 GPO 會以特定的順序套用。 稍後處理的衝突設定可能會覆寫第一次處理的設定。
組策略遵循下列階層式處理順序:
- 本機 GPO。
- 網站連結的 GPO。
- 網域連結的 GPO。
- OU 連結的 GPO。
- 子系 OU 連結的 GPO。
這很重要
在組策略應用程式中,默認規則是套用的最後一個原則(最特定原則)占上風。
例如,在 OU 層級上針對特定 OU 內含物件套用的原則,可能會將套用在網域層級上用來限制控制台存取權的原則反轉。
如果您將數個 GPO 連結至 OU,其處理順序是系統管理員在組策略管理控制台中 OU 的 [連結組策略物件 ] 索引卷標上指定的順序。 預設情況下,所有 GPO 連結已啟用處理程序。 您可以停用容器的 GPO 連結,以完全封鎖指定網域或 OU 的 GPO 應用程式。 例如,如果您最近對 GPO 進行了變更,而且造成生產問題,您可以停用連結或連結,直到問題解決為止。
備註
請注意,如果 GPO 連結到其他容器,則容器會在其連結啟用時繼續處理 GPO。
您也可以從使用者或電腦各別停用特定 GPO 的使用者或電腦設定。 如果已知原則的某個區段是空的,則停用另一個區段可以稍微加快原則處理的速度。 例如,如果您有只提供使用者桌面設定的原則,則可以停用原則的計算機區段。
GPO 繼承
您可以在多個 GPO 中設定原則設定,這可能會導致 GPO 彼此衝突。 在此情況下,GPO 的優先順序會決定用戶端套用的原則設定。 優先順序較高的 GPO 優先於優先順序較低的 GPO。 優先順序是以數值方式決定。 每個 GPO 都有優先順序值。 數位越低,優先順序越高。 因此,優先順序為一的 GPO 會優先於所有其他 GPO。
組策略的預設行為是,連結至較高層級容器的 GPO 會由較低層級的容器繼承。 當計算機啟動時或使用者登入時,組策略用戶端延伸模組會檢查 AD DS 中計算機或用戶物件的位置,並使用包含電腦或使用者的範圍來評估 GPO。 然後,用戶端擴充功能會套用這些 GPO 的原則設定。 原則會循序套用,從連結至網站的原則開始,接著是連結到網域的原則,後面接著連結到 OU 的原則。 此 GPO 的循序應用程式會建立稱為原則繼承的效果。 原則是會被繼承的,這表示使用者或電腦的結果集原則 (RSoPs) 將是來自於網站、網域和組織單位 (OU) 原則的累積效果。
區塊繼承
您可以設定網域或 OU,以防止繼承原則設定。 這稱為封鎖繼承。 若要封鎖繼承,請以滑鼠右鍵按兩下或存取 GPMC 控制台樹中網域或 OU 的作功能表,然後選取 [ 封鎖繼承]。
![群組原則管理主控台中行銷 OU 捷徑功能表的螢幕擷取畫面。管理員已選取 [封鎖繼承]。](../../wwl-windows-server/implement-group-policy-objects/media/m8-group-policy-5-f65ab601.png)
封鎖繼承選項是容器的屬性,因此 GPO 若連結至群組原則階層中的父系,則其中所有群組原則設定都會遭到封鎖。
謹慎
請謹慎使用 [封鎖繼承] 選項,因為封鎖繼承會使評估組策略優先順序和繼承更加困難。
小提示
透過安全組篩選,您可以仔細設定 GPO 的範圍,使其一開始只套用至正確的用戶和計算機,因此不需要使用 [封鎖繼承] 選項。
強制執行 GPO 連結
此外,您可以設定要強制執行的 GPO 連結。 若要強制執行 GPO 連結,請以滑鼠右鍵按兩下或存取主控台樹中 GPO 連結的作功能表,然後從快捷方式選單中選取 [強制執行]。
![組策略管理控制台中 Contoso 網域安全性設定 GPO作功能表的螢幕快照。系統管理員已選取 [強制]。](../../wwl-windows-server/implement-group-policy-objects/media/m8-group-policy-6-69631719.png)
當您將 GPO 連結設定為 [強制] 時,GPO 會採用最高層順序的優先順序。 該 GPO 中的原則設定優先於其他 GPO 中任何衝突的原則設定。
這很重要
強制連結會套用至子容器,即使這些容器設定為 [封鎖繼承]。 [強制執行] 選項會使原則套用至其範圍內的所有物件。
當您必須設定 GPO,以定義公司 IT 安全性和使用原則所授權的設定時,強制執行會很有用。 因此,您需要確保連結到相同或較低層級的其他 GPO 不會改變這些設定。 您可以藉由強制執行 GPO 的連結來達到此目的。
評估優先順序
為了方便評估 GPO 優先順序,您可以直接選取 OU 或網域,然後選取 [組策略繼承 ] 索引標籤。此索引標籤會顯示 GPO 產生的優先順序,並考慮 GPO 連結、連結順序、繼承封鎖和連結強制執行。
![組策略管理主控台的螢幕快照。系統管理員已選取行銷 OU 的 [組策略繼承] 索引標籤。顯示四個原則,其中兩個原則是從網域強制執行。](../../wwl-windows-server/implement-group-policy-objects/media/m8-group-policy-7-48f33863.png)
這很重要
此索引標籤不會說明連結到網站、用於 GPO 安全性或 WMI 篩選的原則。