您可以在组策略管理控制台中将一个或多个GPO链接添加到每个域、站点和部门中。默认情况下，子容器继承链接到Active Directory中更高容器（父容器）的GPO所部署的设置，这些设置可以与链接到子容器的GPO中部署的任何设置结合使用。如果多个GPO试图将某个设置设定为有冲突的值，则由具有最高优先级的GPO设定该设置。GPO处理基于最后写入者获胜模型(Last Writer Wins Model)，之后处理的GPO比之前处理的GPO的优先级高。

在本章前面介绍了，组策略对象是按以下顺序处理的：本地组策略对象(LGPO)→链接到站点的GPO→链接到域的GPO→链接到组织单位的GPO。对于嵌套的组织单位，先处理与父组织单位关联的GPO，然后再处理与子组织单位关联的GPO。

例如父OU的配置了某个组策略，但其子OU没有配置这个组策略，则父OU就会把这个子OU的组策略传递给子OU，从而实现组策略的继承功能。但这只是在子容器中没与配置与父容器的策略项时才生效。也就是在子OU中没有对相同的策略项配置过与父OU类似的组策略，子OU才继承父OU的策略设置。如果配置过，不管是允许还是禁止，则都不会再发生组策略的继承。这一点要特别注意了。

【经验之谈】在配置组策略时我们经常有这样一个疑惑，那就是策略项配置中的“未配置”和“已禁用”选项（如图10-22所示）到底有什么区别。按照常规思维就是，没有配置就相当于没有了该项功能，也就是禁用了该项功能。但在Windows系统中的组策略中，这两个选项是完全不一样的。如果某策略项的设置中保留的是默认的“未配置”选项，表示没有明确启用或者禁用，它会自动继承它的父容器（在域网络中，最大的父容器就是域）中的相同选项的设置。而如果选择了“已启用”，或者“已禁用”选项，则这个策略项的设置就不会再继承它的上级容器的该策略项的设置了。这就是“未配置”选项的作用了，其目的就是让策略项继承上级容器的设置。

图10-22 策略项设置中的“未配置”和“已禁用”选项

对于同一个容器来说，基于链接顺序的优先级设置是按相反的顺序应用指向特定站点、域或部门的链接。例如，具有链接顺序1的GPO比链接到该容器的其他GPO的优先级都高。您可以执行以下操作，进一步控制优先级和如何将GPO链接应用于特定的域、站点或部门：

l         更改链接顺序

在每个域、站点或组织单位中，链接顺序控制何时应用链接。要更改链接的优先级，您可以更改链接顺序，即在列表中将每个链接向上或向下移动到适当的位置。具有较高顺序的链接（最高顺序为1）具有给定站点、域或组织单位的较高优先级。例如某个容器上添加6个GPO链接，并随后决定给最后添加的GPO链接分配最高的优先级（通过单击左边的向上箭头调整，参见10.2.4节），则可以将该GPO链接移到列表的顶部。

l         阻止组策略继承

通过组策略中的“阻止”功能，可以阻止域或组织单位的策略继承（不能阻止站点中策略的继承）。通过使用阻止继承，可防止子容器自动继承链接到更高站点、域或组织单位的GPO。默认情况下，子容器继承父容器中的所有GPO，但有时使用阻止继承是很有用的。例如，如果您要将单个策略集应用于整个域，但有一个组织单位除外，这时就可以在域级链接所需的GPO（域级别的GPO设置默认是所有下面的组织单位都从中继承策略），然后仅在不应用该策略的组织单位上阻止继承。

阻止继续的方法很简单，只需在不需要继承的GPO容器（域、站点，或者组织单位，注意不是具体的GPO）上单击右键，在弹出菜单中选择“阻止继承”选项（如图10-23所示）即可。当域或部门（组织单位）容器的图标显示为蓝色圆圈，并且上面有一个惊叹号，比如： 和 ，这意味着，在该域或部门上阻止继承。

如在图10-24所示的GPMC中的“生产部”OU中创建并链接了一个名为“禁止修改IP地址”的GPO（其目的就是阻止用户修改计算机的IP地址，所使用的策略项是启用：用户配置→管理模板→网络→网络连接下的“禁止访问LAN连接属性”，如图10-25所示），而“生产部”下面的“一车间”和“二车间”子OU中的GPO没有配置过这个策略项，则系统会使这两个子OU自动继承它们的父OU——“生产部”的这个策略项设置。但是，如果下面的子OU中也配置了“禁止访问LAN连接属性”策略项，但它的配置与“生产部”这个父OU中对这个策略项的设置不一样，它是禁止了该策略项，也就是不禁止（允许）用户修改IP地址。这时下面的两个子OU中的该策略项的设置就会继承“生产部”这个父OU的禁止修改IP地址这个设置了。

图10-23 “阻止继承”快捷菜单项 

图10-24 “生产部”OU下新建的“禁止修改IP地址”GPO设置

如果在“生产部”父OU下的“一车间”子OU中既没有配置过“禁止访问LAN连接属性”策略项的GPO，也不想继承其上级OU——“生产部”OU的“禁止修改IP地址”GPO中的设置，这时就可以在“一车间”这个子OU容器上单击右键，在弹出菜单中选择“阻止继承”选项即可。

l         强制GPO链接

默认情况下，在有设置冲突发生时（没有配置的情况是默认继承上级容器的设置的，不会发生冲突），子容器中的设置会覆盖父容器的相同选项设置。但如果想要使某个父容器中的策略设置不被下面的子容器中的策略设置覆盖，则可通过将GPO链接设置为“强制”（以前称之为“禁止替代”），指定该GPO链接中的设置应该优先于它下面任何子容器中的设置，让下面的子容器中的相同策略项设置均强制继承父容器下的这个GPO中的设置。一经设置，不能从父容器阻止强制的GPO链接的向下传递，子容器也无法阻止父容器中对应GPO设置的继承。强制策略继承是指可以在父容器中通过组策略的“强制”选项强制子容器必须继承(不准覆盖)此组策略内的组策略设置，而不论子容器是否设置了阻止策略继承。

如果没有设置强制，在嵌套组织单位中的GPO中包含冲突设置时，链接到子部门的GPO中的设置覆盖较高级别（父）的GPO链接的设置。通过使用强制，可使父GPO链接始终优先。默认情况下，不强制GPO链接。在GPMC之前的工具中，“强制”功能是称之为“禁止替代”功能。强制的GPO链接图标为 （图标右下方有一个向下的箭头）。

设置强制GPO链接的方法也很简单，只需要在某个要强制的容器下的GPO链接（注意，不是GPO容器）上单击右键，在弹出菜单中选择“强制”选项（如图10-26所示）即可。

图10-25 禁止IP地址所设置的策略项  

 图10-26  “强制”快捷菜单项

再以前面介绍的“禁止修改IP地址”GPO为例进行介绍。如果想要让“生产部”OU下面的所有子OU都继承它下面的“禁止修改IP地址”GPO中设置，不管下面的子OU中是否设置了相同的策略项，也不管下面子OU中的相同策略项设置是否设置。这时就可以在“生产部”OU下的“禁止修改IP地址”GPO上单击右键，在弹出菜单中选择“强制”选项即可。

l         禁用GPO链接

默认情况下，为所有GPO链接启用处理。可通过为给定站点、域或组织单位禁用GPO链接，完全阻止将相应GPO应用于该域、站点或组织单位。注意，这不会禁用GPO本身，如果将该GPO链接到其他站点、域或组织单位，并且启用了其链接，则它们继续处理该GPO。只是会在对应容器上禁用该GPO链接。

禁止GPO链接的方法是在对应容器下的对应GPO链接上单击右键，在弹出的如图10-17所示快捷菜单中取消“已启用链接”菜单项前面的“√”号即可。

如果在某个OU中的GPO设置，仅需要部分用户使用，而有些用户不受GPO设置限制，该怎么办呢？事实这种情况是经常存在的。如同在一个MIS管理员组的用户，为了区分不同的工作性质，各管理员的具体权限肯定会有所不同。如有的管理员仅可以修改一般的计算机设置，而不能修改关系重大的组策略设置，而有的则需要全面的控制权限。

在GPMC中，微软为我们提供了一种“安全筛选”的功能，如图10-27所示。通过它我们可以排除不应用当前GPO设置的对象，实现GPO的灵活应用选择。

图10-27 GPO的安全筛选设置窗格

安全筛选用于精确定义哪些用户和计算机将接收并应用组策略对象(GPO)中的设置。使用安全筛选，您可以指定只有GPO链接到的某个容器中的特定安全主体才可应用该GPO。为了使GPO应用于给定的用户或计算机，该用户或计算机必须具有该GPO上的“只读”和“应用组策略(AGP)”权限（这些权限可以在“委派”选项卡中显式定义，也可以是通过组成员关系有效继承的）。

默认情况下，对于所有GPO的“只读”和“AGP”权限，经过身份验证的用户组的设置都是“允许”的。经过身份验证的用户组包括用户和计算机。这就是当新GPO应用到部门、域或站点时，所有经过身份验证的用户接收该新GPO设置的方式。但是，您可以更改这些权限以便将作用域限制为部门、域或站点内的用户、组或计算机的特定集合。对于链接到了多个容器的GPO来说，它的安全筛选设置将同时作用于它的所有作用域，也就是作用于对应GPO所链接的所有容器下。

使用组策略管理控制台(GPMC)，您可以添加和删除要用作各个GPO的安全筛选器的组、用户和计算机。此外，用于安全筛选的安全主体也会在GPO的“委派”选项卡上显示为具有“只读（来自安全筛选）”权限，因为它们具有对该 GPO 的只读权限。如图10-27所示，在“安全筛选”窗格中显示了应用对应GPO的用户、组和计算机。默认是在对应容器下，所有经过授权的用户、组和计算机都将应用GPO设置。如果要让某些用户、组或者计算机不应用对应GPO设置，则需要先删除默认添加的“Authenticated Users”组，然后单击“添加”按钮，在打开如图10-19所示对话框中一一添加要应用该GPO的用户、组和计算机（通常为了方便配置，是把这些用户、组和计算机放进一个新创建的组中，这样就只需添加这个组帐户即可）。

本文摘自《金牌网管师——中小型企业网络组建、配置与管理)》第十章