筆者在域控制器的組策略管理中,遇到的最頭疼的問題就是組策略權限的繼承問題。我們都知道,為了便於權限的設置,組策略的配置具有繼承的特性。也就是說,默認情況下,上級的配置會傳遞給下級,即使下面一級沒有這方面的權限,等等。故,在對企業網絡進行組策略管理之前,我們需要先明白組策略的這個繼承特性,才能夠在後續的管理中,事半功倍。否則的話,我們只會事倍功半。
假設名為現在有如下一個簡單的網絡架構。
在域OU設置中,有一個辦公文員的OU,其在組策略設置中,當系統登陸的時候,默認的用戶名是上次登陸的用戶。也就是說,在系統登陸的窗口中,會顯示出上次登陸的帳戶名。現在這個OU下面,還有一個名字為銷售人員的OU。在這種架構下,辦公文員OU稱為父OU,銷售人員的OU稱為子OU。
現在我們就來看看組策略是如何繼承的。
一、 銷售人員OU繼承辦公文員OU的組策略
如果父OU的配置了某個組策略,但其子OU沒有配置這個組策略,則父OU就會把這個子OU的組策略傳遞給子OU,從而實現組策略的繼承功能。這裡要注意一個問題,就是這裡的“子OU沒有配置這個組策略”,是指沒有配置過類似的組策略,如果配置過,不管是允許還是禁止,則都不會再發生組策略的繼承。
也就是說,如果辦公文員這個OU中,網絡管理員配置了一個組策略,在系統登陸的時候顯示上次登陸的用戶名。而若在其子OU銷售人員OU中,沒有對這個組策略進行任何的配置,(也許默認的情況下,利用域帳戶登陸的話,是不顯示上次登陸的用戶名)。此時,域控制器就會認為銷售人員OU中沒有對這個策略進行過配置,就會繼承辦公文員這個OU的組策略,在下次登陸的時候,顯示上一次登陸的域帳戶名。
並且,這個組策略的繼承還會一直延續下去。如在這個銷售人員組中,下面還有銷售一組、二組的OU時,這個辦公文員組的組策略就會一直傳遞給銷售一組、銷售二組等等。但是,這裡要注意一點,就是我們在查看子OU的組策略的時候,是不會顯示父OU的組策略。也就是說,組策略繼承給銷售人員這個OU的時候,我們看其組策略的設置,其這個 “顯示上次登陸帳戶名”這個組策略,仍然沒有被配置。但是,其確確實實繼承了這個組策略。所以,這就給我們組策略維護的時候,有一定的迷惑度。
二、 銷售人員OU抵制辦公文員OU的組策略
上面我們都次強調,在組策略繼承中,必須子OU對應的組策略沒有經過默認配置的情況下,雖然其可能具有默認值,才能夠發生組策略的繼承事件。但是,若子OU對對應的組策略進行了設置,即使只是顯示的反應其默認值,這這個繼承就會被打斷。