Chinaunix首页 | 论坛 | 博客
  • 博客访问: 377015
  • 博文数量: 1051
  • 博客积分: 53280
  • 博客等级: 大将
  • 技术积分: 6670
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-09 13:21
文章分类

全部博文(1051)

文章存档

2011年(1)

2008年(1050)

我的朋友

分类:

2008-09-09 16:31:31

    笔者在域控制器的组策略管理中,遇到的最头疼的问题就是组策略权限的继承问题。我们都知道,为了便于权限的设置,组策略的配置具有继承的特性。也就是说,默认情况下,上级的配置会传递给下级,即使下面一级没有这方面的权限,等等。故,在对企业网络进行组策略管理之前,我们需要先明白组策略的这个继承特性,才能够在后续的管理中,事半功倍。否则的话,我们只会事倍功半。

  假设名为现在有如下一个简单的网络架构。

  在域OU设置中,有一个办公文员的OU,其在组策略设置中,当系统登陆的时候,默认的用户名是上次登陆的用户。也就是说,在系统登陆的窗口中,会显示出上次登陆的帐户名。现在这个OU下面,还有一个名字为销售人员的OU。在这种架构下,办公文员OU称为父OU,销售人员的OU称为子OU。

  现在我们就来看看组策略是如何继承的。

  一、 销售人员OU继承办公文员OU的组策略

  如果父OU的配置了某个组策略,但其子OU没有配置这个组策略,则父OU就会把这个子OU的组策略传递给子OU,从而实现组策略的继承功能。这里要注意一个问题,就是这里的“子OU没有配置这个组策略”,是指没有配置过类似的组策略,如果配置过,不管是允许还是禁止,则都不会再发生组策略的继承。

  也就是说,如果办公文员这个OU中,网络管理员配置了一个组策略,在系统登陆的时候显示上次登陆的用户名。而若在其子OU销售人员OU中,没有对这个组策略进行任何的配置,(也许默认的情况下,利用域帐户登陆的话,是不显示上次登陆的用户名)。此时,域控制器就会认为销售人员OU中没有对这个策略进行过配置,就会继承办公文员这个OU的组策略,在下次登陆的时候,显示上一次登陆的域帐户名。

  并且,这个组策略的继承还会一直延续下去。如在这个销售人员组中,下面还有销售一组、二组的OU时,这个办公文员组的组策略就会一直传递给销售一组、销售二组等等。但是,这里要注意一点,就是我们在查看子OU的组策略的时候,是不会显示父OU的组策略。也就是说,组策略继承给销售人员这个OU的时候,我们看其组策略的设置,其这个 “显示上次登陆帐户名”这个组策略,仍然没有被配置。但是,其确确实实继承了这个组策略。所以,这就给我们组策略维护的时候,有一定的迷惑度。

[1]   

【责编:Zenghui】

--------------------next---------------------

阅读(105) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~