組策略管理的難點之繼承問題

 筆者在域控制器的組策略管理中，遇到的最頭疼的問題就是組策略權限的繼承問題。我們都知道，為了便於權限的設置，組策略的配置具有繼承的特性。也就是說，默認情況下，上級的配置會傳遞給下級，即使下面一級沒有這方面的權限，等等。故，在對企業網絡進行組策略管理之前，我們需要先明白組策略的這個繼承特性，才能夠在後續的管理中，事半功倍。否則的話，我們只會事倍功半。

　　假設名為現在有如下一個簡單的網絡架構。

　　在域OU設置中，有一個辦公文員的OU，其在組策略設置中，當系統登陸的時候，默認的用戶名是上次登陸的用戶。也就是說，在系統登陸的窗口中，會顯示出上次登陸的帳戶名。現在這個OU下面，還有一個名字為銷售人員的OU。在這種架構下，辦公文員OU稱為父OU，銷售人員的OU稱為子OU。

　　現在我們就來看看組策略是如何繼承的。

　　一、 銷售人員OU繼承辦公文員OU的組策略

　　如果父OU的配置了某個組策略，但其子OU沒有配置這個組策略，則父OU就會把這個子OU的組策略傳遞給子OU，從而實現組策略的繼承功能。這裡要注意一個問題，就是這裡的“子OU沒有配置這個組策略”，是指沒有配置過類似的組策略，如果配置過，不管是允許還是禁止，則都不會再發生組策略的繼承。

　　也就是說，如果辦公文員這個OU中，網絡管理員配置了一個組策略，在系統登陸的時候顯示上次登陸的用戶名。而若在其子OU銷售人員OU中，沒有對這個組策略進行任何的配置，(也許默認的情況下，利用域帳戶登陸的話，是不顯示上次登陸的用戶名)。此時，域控制器就會認為銷售人員OU中沒有對這個策略進行過配置，就會繼承辦公文員這個OU的組策略，在下次登陸的時候，顯示上一次登陸的域帳戶名。

　　並且，這個組策略的繼承還會一直延續下去。如在這個銷售人員組中，下面還有銷售一組、二組的OU時，這個辦公文員組的組策略就會一直傳遞給銷售一組、銷售二組等等。但是，這裡要注意一點，就是我們在查看子OU的組策略的時候，是不會顯示父OU的組策略。也就是說，組策略繼承給銷售人員這個OU的時候，我們看其組策略的設置，其這個 “顯示上次登陸帳戶名”這個組策略，仍然沒有被配置。但是，其確確實實繼承了這個組策略。所以，這就給我們組策略維護的時候，有一定的迷惑度。

　　二、 銷售人員OU抵制辦公文員OU的組策略

　　上面我們都次強調，在組策略繼承中，必須子OU對應的組策略沒有經過默認配置的情況下，雖然其可能具有默認值，才能夠發生組策略的繼承事件。但是，若子OU對對應的組策略進行了設置，即使只是顯示的反應其默認值，這這個繼承就會被打斷。