分类:
2008-09-09 16:31:31
笔者在域控制器的组策略管理中,遇到的最头疼的问题就是组策略权限的继承问题。我们都知道,为了便于权限的设置,组策略的配置具有继承的特性。也就是说,默认情况下,上级的配置会传递给下级,即使下面一级没有这方面的权限,等等。故,在对企业网络进行组策略管理之前,我们需要先明白组策略的这个继承特性,才能够在后续的管理中,事半功倍。否则的话,我们只会事倍功半。
假设名为现在有如下一个简单的网络架构。
在域OU设置中,有一个办公文员的OU,其在组策略设置中,当系统登陆的时候,默认的用户名是上次登陆的用户。也就是说,在系统登陆的窗口中,会显示出上次登陆的帐户名。现在这个OU下面,还有一个名字为销售人员的OU。在这种架构下,办公文员OU称为父OU,销售人员的OU称为子OU。
现在我们就来看看组策略是如何继承的。
一、 销售人员OU继承办公文员OU的组策略
如果父OU的配置了某个组策略,但其子OU没有配置这个组策略,则父OU就会把这个子OU的组策略传递给子OU,从而实现组策略的继承功能。这里要注意一个问题,就是这里的“子OU没有配置这个组策略”,是指没有配置过类似的组策略,如果配置过,不管是允许还是禁止,则都不会再发生组策略的继承。
也就是说,如果办公文员这个OU中,网络管理员配置了一个组策略,在系统登陆的时候显示上次登陆的用户名。而若在其子OU销售人员OU中,没有对这个组策略进行任何的配置,(也许默认的情况下,利用域帐户登陆的话,是不显示上次登陆的用户名)。此时,域控制器就会认为销售人员OU中没有对这个策略进行过配置,就会继承办公文员这个OU的组策略,在下次登陆的时候,显示上一次登陆的域帐户名。
并且,这个组策略的继承还会一直延续下去。如在这个销售人员组中,下面还有销售一组、二组的OU时,这个办公文员组的组策略就会一直传递给销售一组、销售二组等等。但是,这里要注意一点,就是我们在查看子OU的组策略的时候,是不会显示父OU的组策略。也就是说,组策略继承给销售人员这个OU的时候,我们看其组策略的设置,其这个 “显示上次登陆帐户名”这个组策略,仍然没有被配置。但是,其确确实实继承了这个组策略。所以,这就给我们组策略维护的时候,有一定的迷惑度。
[1]