避免组策略逻辑错误

shallwesw

<P>　　首先，要了解可以实施组策略的容器，它们分别是：</P>

<P>　　域（Domain）；组织单元（OU）；站点（Site）。</P>

<P>　　在不同的容器上设置组策略，组策略的应用范围也不相同。当应用范围发生重叠时，就容易产生组策略的逻辑错误。如何避免这样的逻辑错误呢？笔者有一些经验和大家共享。</P>

<P>　　其次，要了解Windows Server 2003中活动目录（Active Directory）是如何解决组策略冲突的。在AD（Active Directory）中解决组策略冲突主要遵循以下规则：</P>

<P>　　1、组策略的执行顺序是：首先执行的是本地策略，然后依次是站点策略、域（Domain）策略、OU策略、子OU策略（如图1）。</P>

<P align=center><IMG src="/bbs/attachments/computer/20081214/2008121411142060977801.jpg" border=0></P>

<P align=center>图1 策略顺序</P>

<P align=center><IMG src="/bbs/attachments/computer/20081214/2008121411142067177802.jpg" border=0></P>

<P align=center>图2 设置阻止继承</P>

<P>　　当组策略产生冲突时，OU的组策略设置覆盖Domain的组策略设置；Domain的组策略设置覆盖Site的组策略设置；Site的组策略设置覆盖Local策略设置。</P>

<P>　　2、在同一容器上多个组策略产生冲突时，排列在组策略列表中最上方的组策略的设置生效。</P>

<P>　　第三，组策略的继承性。在默认情况下子容器总是继承父容器的组策略设置。可以通过以下两种设置方式更改组策略的继承性。</P>

<P>　　1、阻止继承。子容器可以设置阻止继承，以便让子容器自身的组策略设置生效（如图2）。</P>

<P>　　2、禁止覆盖。当您想使某个组策略的设置不被后执行的组策略的设置所覆盖，可以使用组策略的禁止覆江西广告网δ堋Ｈ缤