Ưu tiên thực thi GPO

11

Ưu tiên cho các GPO đã thực hiện là gì, tôi thực sự không thể tìm thấy bất kỳ bài viết MS nào đưa ra câu trả lời tinh tế.

Hiểu biết hiện tại của tôi là như sau:

Hãy nói rằng chúng ta có 5 GPO - GPO1 đến GP05. Tôi sẽ sử dụng một câu hỏi thi để đưa vào bối cảnh.

GPO    Linked to   Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 -    Site 1   - Yes
GP04 -     OU1     - No
GP05 -     OU1     - Yes

Bây giờ sự hiểu biết của tôi sẽ có nghĩa là họ sẽ áp dụng theo thứ tự này, từ người đầu tiên áp dụng đến người cuối cùng để áp dụng (do đó, người được ưu tiên nhất).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Tôi có đúng theo cách hiểu của tôi không? Cảm ơn nhiều!

active-directory  group-policy 
PnP
nguồn
"áp dụng theo thứ tự này" của bạn là đúng về mặt WHAT được áp dụng nhưng không nhất thiết là KHI Gpo được giải trình tự. Xem câu trả lời của tôi để làm rõ về phần đó.
TheCleaner

Câu trả lời:

17

Tôi đã viết về điều này ở đây: http://myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx

TL; DR - GPO cao nhất hoặc cha mẹ cũng được thi hành sẽ giành chiến thắng.

Từ Microsoft:

Bạn có thể chỉ định rằng các cài đặt trong liên kết GPO sẽ được ưu tiên hơn các cài đặt của bất kỳ đối tượng con nào bằng cách đặt liên kết đó thành Thực thi. Các liên kết GPO được thi hành không thể bị chặn khỏi vùng chứa chính. Không có sự thực thi từ phía trên, các cài đặt của các liên kết GPO ở cấp cao hơn (cha mẹ) sẽ bị ghi đè bởi các cài đặt trong GPO được liên kết với các đơn vị tổ chức con, nếu GPO chứa các cài đặt xung đột. Với việc thực thi, liên kết GPO gốc luôn được ưu tiên. Theo mặc định, các liên kết GPO không được thi hành.

BIÊN TẬP:

Xem ở đây là tốt: GPO cung cấp giá trị bất ngờ

Có thông tin cụ thể:

Cài đặt Thực thi là thuộc tính của liên kết giữa vùng chứa Active Directory và GPO. Nó được sử dụng để buộc GPO đó cho tất cả các đối tượng Active Directory trong một thùng chứa, bất kể chúng được lồng sâu đến đâu. Các cài đặt trong GPO được thi hành sẽ ghi đè các cài đặt khác sẽ được áp dụng vì chúng sẽ được áp dụng sau này. Nếu có các cài đặt xung đột trong GPO được thi hành ở hai cấp của cấu trúc phân cấp, thì cài đặt được thi hành xa nhất từ ​​máy khách sẽ chiếm ưu thế. Đây là một sự đảo ngược của quy tắc thông thường , trong đó cài đặt từ GPO được liên kết gần nhất sẽ chiếm ưu thế.

Ryan Ries
nguồn
1
Vì vậy, điều đó đúng, trong trường hợp trên, GPO được liên kết với Trang web sẽ thực sự giành chiến thắng. Cảm ơn bạn.
PnP
TheD - Để rõ ràng, điều này có liên quan đến các cài đặt chung cho cả GPO. Nếu bạn có các cài đặt trong GPO được liên kết OU không được đặt trong GPO được liên kết của Trang thì các cài đặt đó sẽ được áp dụng bởi GPO được liên kết OU. Chỉ khi có các cài đặt chung trong cả hai GPO, hệ thống phân cấp thực thi mới được sử dụng.
joeqwerty
4

Ryan (và tôi: P) đã trả lời câu hỏi về cách xử lý 2 hoặc nhiều GPO được thi hành, nhưng tôi muốn làm rõ rằng trong khi GPO3 được liên kết đến trang web sẽ "thắng", trình tự OP về cách áp dụng chúng không đúng.

OP tuyên bố:

Bây giờ sự hiểu biết của tôi sẽ có nghĩa là họ sẽ áp dụng theo thứ tự này, từ người đầu tiên áp dụng đến người cuối cùng để áp dụng (do đó, người được ưu tiên nhất).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Ghi nhớ rằng:

nhập mô tả hình ảnh ở đây

Theo như trình tự đi (bao gồm cả việc thực thi, nhưng cụ thể là thứ tự trình tự mà các GPO được xem xét khi xử lý):

GPO3 (với bất kỳ cài đặt nào được thi hành và được ưu tiên từ đây trở đi)

->

GPO1 hoặc GPO2 (tùy thuộc vào thứ tự liên kết ở cấp tên miền của 2 loại này, với GPO2 được thi hành trừ khi cài đặt GPO3 ghi đè vì GPO3 được thi hành ở cấp trang web)

->

GPO4 hoặc GPO5 (tùy thuộc vào thứ tự liên kết ở cấp độ OU của 2 loại này, với GPO5 được thi hành trừ khi cài đặt GPO2 hoặc GPO3 ghi đè)

TheCleaner
nguồn
Xin lỗi, nhưng thứ tự xử lý là gì, như: GPOx -> GPOx, xin lỗi nhưng lời giải thích của bạn làm tôi bối rối một chút!
PnP
Hãy nói rằng thứ tự liên kết đã không được thay đổi, vì vậy, đơn giản là các GPO được liên kết với OU và Site .etc., Chúng được xử lý theo thứ tự nào liên quan đến GPO đầu tiên cho GPO cuối cùng.
PnP
Bản thân câu hỏi cho biết sắp xếp chúng theo thứ tự chúng sẽ được áp dụng cho PC khách. Cảm ơn!
PnP
Tôi không thể trả lời dựa trên câu hỏi NÓI câu trả lời là gì ... nhưng LUÔN LUÔN có thứ tự liên kết khi 2 hoặc nhiều GPO được áp dụng ở cấp độ ngay cả khi bạn không đặt thủ công. Bạn có thể thấy điều này trong GPMC khi nhìn vào tab "GPO được liên kết" cho bất kỳ cấp độ nào bạn đang ở. GPO luôn được xử lý trong ĐẶT HÀNG trong ảnh tôi đã đăng. Điều đó không có nghĩa là họ sẽ được ưu tiên hoặc áp dụng, chỉ có điều đó là thứ tự họ được xem xét khi quyết định. Tôi đã thay đổi "mã" tôi đã đăng để giúp làm rõ cho bạn.
TheCleaner
Truy vấn của tôi là, bạn cho thấy GP03 thực sự được xử lý trước, nhưng tôi nghĩ rằng những người có quyền ưu tiên cao nhất và được xử lý cuối cùng do đó có tiếng nói cuối cùng về Chính sách.
PnP
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.