在 Windows網域環境裡, 群組原則物件(GPO)是一種設定規則, 用來集中管理使用者和電腦的行為, 而當多個 GPO同時存在時, 它們套用的優先順序就是按照 LSDOU來處理:
。L (Local)本機原則
--最先套用的是本機電腦上直接設定的原則
--這種原則是針對單台電腦設定, 不需要依靠網域
。S (Site)站台原則
--如果電腦屬於一個特定的 AD站台, 會套用站台層級的 GPO
--站台通常是依照實際地理位置或網路拓撲劃分
。D (Domain)網域原則
--接下來是網域層級設定的 GPO
--這會影響整個網域中的所有物件(使用者與電腦)
。OU (Organizational Unit)組織單位原則
--最後是套用到 OU層級的 GPOw-studio.idv.tw
--OU可以再細分成子OU, 子OU的 GPO會比上層OU的 GPO有更高的優先權
。後套用者優先:
如果有衝突, OU層級的設定會覆蓋網域、站台、本機的設定, 也就是說愈後面愈有優先權
。可以阻止繼承:
在 OU上可以設定阻止繼承, 來防止上層(網域、站台)GPO套用進來
。可以強制套用:
管理員可以把某些 GPO設為強制, 即使底下有阻止繼承仍然會被套用
沒有留言:
張貼留言