Windows群組原則的優先權

Windows Group Policy processing and precedence



簡介

Windows可以從很多地方建立Group Policy (後稱GP)
當多個GP對同一台電腦設定規則時,要如何知道那個GP優先權最高 ?

Windows採取的衝突原則

Windows 採用 Last writer win
即後面寫入的原則,會覆蓋前面的原則
也就是越早執行原則,優先權越低




目錄

Group Policy
GP的執行順序
相同層級的執行順序
電腦原則和使用者原則
優先權順序圖例
優先權順序例子



Group Policy

GP的主要用途是設定電腦或使用者可以使用的功能或權限
最常用到的地方就是AD的環境中,幫大量的電腦設定原則
而最常使用設定介面不外乎一個是 Local 的GP,另一個是網域上的GP
網域上使用GP的地方有Site、Domain、OU,每一個地方都可以套用好幾個GP
我們常常在網域上套用好幾個GP,本機也有一個GP,到底這些GP是如何比較出誰先誰後呢



GP的執行順序

Local-Site-Domain-OU(subOU-subsubOU…)
最早執行的GP是本機的群組原則,其次是Site,再來是Domain,最後是OU
OU的架構屬階層式,其中父OU會先執行,然後才是底下的子OU
因此執行順序是
L -> S -> D -> OU -> subOU -> subsubOU …..  (subOU就是子OU)

優先權剛好與執行順序相反,優先權是
subsubOU -> subOU -> OU -> D -> S -> L



相同層級的執行順序

如果在同一個Domain(site或OU)上建立多筆GP,執行順序又會是如何 ?

(圖中顯示的Precedence就是執行順序,越上面越先被執行)

我們可以在 Link Group Policy Objects 修改執行順序
在序列中,越上面的越早執行,也就代表優先權越低
其原理同樣適用於Site、Domain、OU


電腦原則和使用者原則

一個原則裡面又分成電腦原則和使用者原則
電腦原則和使用者原則之間有些原則是相同的,而有些是不同的
相同的部分,其優先權是電腦 > 使用者
也就是電腦原則優先於使用者原則





優先權順序圖例

從下圖可以知道GP的優先權順序(越下面越高)
圖中越上面的原則越早被執行

優先權順序例子

 一開始原則設定為,X = 5 , Y = 4 , Z = 3
經過Domain的原則後,原則變為 X = 5 , Y = 1 , Z = 1
再經過名稱為Taipei的OU套用原則,原則變為 X = 5 , Y = 2 , Z = 1
最後子OU sales套用,原則變為 X = 5 , Y= 2 , Z = 7



留言

發佈留言

此網誌的熱門文章

WPA_supplicant的設定方式

DOS指令 -- SET和變數

Nginx server 和 location 優先順序