GPO 设备订单

欢迎阅读由七个短文组成的系列文章，其中将阐述 GPO（又名组策略对象）的各个方面 - Microsoft 用于自动配置 Windows 操作系统的框架。

在此处阅读全文，或使用本文底部的链接跳至上一篇或下一篇文章。

GPO 设备订单

GPO 设备一开始可能会非常令人困惑，因为许多配置都会影响 GPO 设备订单的最终结果。我们经常看到经验丰富的管理员在这方面犯错误。

首先：

AD 中的计算机对象（仅）从链接到计算机的 OU 或父 OU 的 GPO 接收计算机设置。

AD 中的用户对象（仅）从链接到用户的 OU 或父 OU 的 GPO 接收用户设置。

此规则存在例外情况！请仔细阅读整个部分！

GPO 可以禁用其计算机设置或用户设置。使用此功能可以通过禁用仅保存用户设置的 GPO 的计算机设置来加速客户端上的 GPO 处理，反之亦然。禁用计算机和用户设置将有效禁用 GPO。

由于多个 GPO 可能具有冲突的设置，并且甚至计算机和用户设置有时也可以配置相同的设置，因此出现了一个重要问题：

在存在多个相互冲突的 GPO 的情况下，应用哪些有效设置？

首先，您应该避免在 GPO 中配置冲突的设置。但无论如何，这些都是 GPO 设备的“基本”规则：

• 同一 OU 上具有较低链接顺序（例如 1）的 GPO 集将覆盖同一 OU 上具有较高链接顺序（例如 3）的 GPO 集
• 较低级别 OU 的 GPO 设置将覆盖较高级别 OU 的 GPO 设置

这基本上意味着，在 OU 层次结构中配置的 GPO 越低，它们就越占主导地位（因为它们最后应用，从而覆盖以前应用的设置）。

在下面的示例中，具有最高链接顺序的 GPO 将胜过链接顺序较低的 GPO 中的任何冲突设置：

笔记！左侧域对象下方的 GPO 的顺序只是按字母顺序排列！您必须查看右侧的链接顺序。

在下面的示例中，链接到较低级别 OU（“桌面配置”）的 GPO 将胜过链接到较高级别（更接近域对象）的 GPO 中的任何冲突设置：

除此之外，如果用户和计算机设置发生冲突，您应该了解以下内容：

• GPO 计算机设置在系统启动期间应用
• GPO 用户设置在用户登录时应用

因此，用户设置将覆盖任何冲突的计算机设置（因为它们是最后应用的）。

让事情变得更加复杂的是，可以通过以下方式修改 GPO 设备：

• 链接已禁用
• 无覆盖
• 块继承
• 环回处理
• WMI过滤
• 安全过滤

链接已禁用是指您禁用 GPO 链接。 GPO 已链接到 OU，但该链接已禁用。在这种情况下，GPO 不会应用任何内容。这主要在测试期间使用。

无覆盖表示 GPO 中的设置不能被较低级别的 GPO 设置覆盖。这通常用于防止较低级别的管理员覆盖企业设置。

块继承是 OU（而非 GPO）的一项功能，可确保较高级别 OU 中设置的 GPO 不会应用于 OU（或子 OU）中的计算机或用户对象。请注意，无覆盖优先于块继承。

环回处理意味着来自影响计算机的 GPO 的用户设置被应用到计算机对象（通常只有计算机设置影响计算机）。环回处理有两种形式：替换和合并：

• 通过替换，GPO 中影响用户对象的用户设置将被完全跳过。这在例如您不希望随机用户 GPO 弄乱您的终端服务器的终端服务器环境。
• 通过合并，影响用户的 GPO 中的用户设置将在影响计算机的 GPO 中的用户设置之上进行处理。

WMI 过滤允许您使用 WMI 过滤器来过滤目标。 WMI 过滤器可以查询 WMI 中的任何内容，例如操作系统版本、BIOS 版本、磁盘大小、硬件类型等。WMI 过滤器在 GPMC 的 WMI 过滤器部分中定义，定义后，可以将它们添加到策略范围选项卡中的组策略中。

最后，可以通过安全过滤来修改 GPO 设备，这将在下一节中介绍。

« 如何配置 GPO？

GPO 安全过滤和委派 »