笔者在域控制器的组策略管理中，遇到的最头疼的问题就是组策略权限的继承问题。我们都知道，为了便于权限的设置，组策略的配置具有继承的特性。也就是说，默认情况下，上级的配置会传递给下级，即使下面一级没有这方面的权限，等等。故，在对企业网络进行组策略管理之前，我们需要先明白组策略的这个继承特性，才能够在后续的管理中，事半功倍。否则的话，我们只会事倍功半。

　　假设名为现在有如下一个简单的网络架构。

　　在域OU设置中，有一个办公文员的OU，其在组策略设置中，当系统登陆的时候，默认的用户名是上次登陆的用户。也就是说，在系统登陆的窗口中，会显示出上次登陆的帐户名。现在这个OU下面，还有一个名字为销售人员的OU。在这种架构下，办公文员OU称为父OU，销售人员的OU称为子OU。

　　现在我们就来看看组策略是如何继承的。

　　一、 销售人员OU继承办公文员OU的组策略

　　如果父OU的配置了某个组策略，但其子OU没有配置这个组策略，则父OU就会把这个子OU的组策略传递给子OU，从而实现组策略的继承功能。这里要注意一个问题，就是这里的“子OU没有配置这个组策略”，是指没有配置过类似的组策略，如果配置过，不管是允许还是禁止，则都不会再发生组策略的继承。

　　也就是说，如果办公文员这个OU中，网络管理员配置了一个组策略，在系统登陆的时候显示上次登陆的用户名。而若在其子OU销售人员OU中，没有对这个组策略进行任何的配置，(也许默认的情况下，利用域帐户登陆的话，是不显示上次登陆的用户名)。此时，域控制器就会认为销售人员OU中没有对这个策略进行过配置，就会继承办公文员这个OU的组策略，在下次登陆的时候，显示上一次登陆的域帐户名。

　　并且，这个组策略的继承还会一直延续下去。如在这个销售人员组中，下面还有销售一组、二组的OU时，这个办公文员组的组策略就会一直传递给销售一组、销售二组等等。但是，这里要注意一点，就是我们在查看子OU的组策略的时候，是不会显示父OU的组策略。也就是说，组策略继承给销售人员这个OU的时候，我们看其组策略的设置，其这个 “显示上次登陆帐户名”这个组策略，仍然没有被配置。但是，其确确实实继承了这个组策略。所以，这就给我们组策略维护的时候，有一定的迷惑度。

[1]