微軟資格認(rèn)證考試綜合輔導(dǎo):組策略管理的難點(diǎn)之繼承問題

字號:

筆者在域控制器的組策略管理中,遇到的最頭疼的問題就是組策略權(quán)限的繼承問題。我們都知道,為了便于權(quán)限的設(shè)置,組策略的配置具有繼承的特性。也就是說,默認(rèn)情況下,上級的配置會傳遞給下級,即使下面一級沒有這方面的權(quán)限,等等。故,在對企業(yè)網(wǎng)絡(luò)進(jìn)行組策略管理之前,我們需要先明白組策略的這個繼承特性,才能夠在后續(xù)的管理中,事半功倍。否則的話,我們只會事倍功半。
    假設(shè)名為現(xiàn)在有如下一個簡單的網(wǎng)絡(luò)架構(gòu)。
    在域OU設(shè)置中,有一個辦公文員的OU,其在組策略設(shè)置中,當(dāng)系統(tǒng)登陸的時候,默認(rèn)的用戶名是上次登陸的用戶。也就是說,在系統(tǒng)登陸的窗口中,會顯示出上次登陸的帳戶名?,F(xiàn)在這個OU下面,還有一個名字為銷售人員的OU。在這種架構(gòu)下,辦公文員OU稱為父OU,銷售人員的OU稱為子OU。
    現(xiàn)在我們就來看看組策略是如何繼承的。
    一、銷售人員OU繼承辦公文員OU的組策略
    如果父OU的配置了某個組策略,但其子OU沒有配置這個組策略,則父OU就會把這個子OU的組策略傳遞給子OU,從而實(shí)現(xiàn)組策略的繼承功能。這里要注意一個問題,就是這里的“子OU沒有配置這個組策略”,是指沒有配置過類似的組策略,如果配置過,不管是允許還是禁止,則都不會再發(fā)生組策略的繼承。
    也就是說,如果辦公文員這個OU中,網(wǎng)絡(luò)管理員配置了一個組策略,在系統(tǒng)登陸的時候顯示上次登陸的用戶名。而若在其子OU銷售人員OU中,沒有對這個組策略進(jìn)行任何的配置,(也許默認(rèn)的情況下,利用域帳戶登陸的話,是不顯示上次登陸的用戶名)。此時,域控制器就會認(rèn)為銷售人員OU中沒有對這個策略進(jìn)行過配置,就會繼承辦公文員這個OU的組策略,在下次登陸的時候,顯示上一次登陸的域帳戶名。
    并且,這個組策略的繼承還會一直延續(xù)下去。如在這個銷售人員組中,下面還有銷售一組、二組的OU時,這個辦公文員組的組策略就會一直傳遞給銷售一組、銷售二組等等。但是,這里要注意一點(diǎn),就是我們在查看子OU的組策略的時候,是不會顯示父OU的組策略。也就是說,組策略繼承給銷售人員這個OU的時候,我們看其組策略的設(shè)置,其這個“顯示上次登陸帳戶名”這個組策略,仍然沒有被配置。但是,其確確實(shí)實(shí)繼承了這個組策略。所以,這就給我們組策略維護(hù)的時候,有一定的迷惑度。
    二、銷售人員OU抵制辦公文員OU的組策略
    上面我們都次強(qiáng)調(diào),在組策略繼承中,必須子OU對應(yīng)的組策略沒有經(jīng)過默認(rèn)配置的情況下,雖然其可能具有默認(rèn)值,才能夠發(fā)生組策略的繼承事件。但是,若子OU對對應(yīng)的組策略進(jìn)行了設(shè)置,即使只是顯示的反應(yīng)其默認(rèn)值,這這個繼承就會被打斷。
    利用官方的話說,就是如果子容器內(nèi)的某個策略被配置,則此配置值就會覆蓋由其父容器所傳遞下來的配置值。這句話有兩個意思。
    一是當(dāng)父OU配置了某個組策略,而子OU也配置了這個組策略,則無論這兩個組策略是否一致,則子OU都不會繼承父OU的這個組策略。也就是說,若子OU的組策略配置即使跟父OU的組策略配置是一樣的,其也是直接使用自己的組策略,而不會去關(guān)心父OU的組策略倒是是如何配置的。若他們的組策略配置相互矛盾,則子OU更加不會理睬父OU的組策略。兒子大了,做老爸的也管不住了。
    二是若父OU配置了某個組策略,而當(dāng)時子OU還沒有對這個組策略配置過,則子OU會繼承這個父OU。但是,后來網(wǎng)絡(luò)管理員發(fā)現(xiàn)子OU不能采用這個組策略,就在子OU的組策略中重新設(shè)置了。此時,這個重新設(shè)置的值就會覆蓋父OU組策略傳遞下來的值。
    下面筆者就舉一個例子來加深大家對這個原則的理解。
    假設(shè),在父OU辦公文員這個組上,我們網(wǎng)絡(luò)管理員出于安全方面的考慮,設(shè)置了一個“禁止在桌面上顯示網(wǎng)絡(luò)鄰居”的組策略。此時,若子OU銷售管理員組一開始就設(shè)置了這個組策略,不管其是禁止還是允許,則子OU都不會考慮繼承父OU的這個組策略。也就是說,當(dāng)兒子的有了自己的注意之后,就不會聽老子的話了。若子OU剛開始沒有配置這個組組策略,則當(dāng)銷售管理員這個OU加入到辦公文員這個OU中后,則其就會繼承父OU的這個組策略。但是,后來網(wǎng)絡(luò)管理員出于某些考慮,在子OU這個組策略上,設(shè)置為“允許在桌面上顯示網(wǎng)絡(luò)鄰居”,此時這個配置值就會覆蓋掉原有的父OU繼承下來的配置值。
    以上兩個原則就是組策略繼承中的兩個基本定律。在實(shí)際工作中,除了以上的這些規(guī)則外,還需要知道一些不成文的規(guī)定,或者叫做優(yōu)先性問題。