GPO Enforced Precedence

11

Каков приоритет для Enforeced GPO, я не могу найти ни одной статьи MS, которая дает утонченный ответ.

Мое нынешнее понимание таково:

Допустим, у нас есть 5 GPO - от GPO1 до GP05. Я буду использовать вопрос экзамена, чтобы поместить в контекст.

GPO    Linked to   Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 -    Site 1   - Yes
GP04 -     OU1     - No
GP05 -     OU1     - Yes

Теперь мое понимание будет означать, что они будут применяться в этом порядке, от первого до последнего, чтобы применить (таким образом, тот, который имеет наибольшее преимущество).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Правильно ли я понимаю? Большое спасибо!

active-directory group-policy PnP
источник
Ваше «применить в этом порядке» правильно с точки зрения того, ЧТО применяется, но не обязательно в КОГДА, когда gpo получает последовательность. Смотрите мой ответ для уточнения по этой части.
TheCleaner

Ответы:

17

Я написал об этом здесь: http://myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx

TL; DR - победит самый верхний или родительский объект групповой политики, который также применяется принудительно.

От Microsoft:

Вы можете указать, что настройки в ссылке на объект групповой политики должны иметь приоритет над настройками любого дочернего объекта, установив эту ссылку на Принудительный. Принудительные GPO-ссылки не могут быть заблокированы из родительского контейнера. Без принудительного применения, приведенного выше, параметры ссылок объекта групповой политики на более высоком уровне (родительском) перезаписываются параметрами в объектах групповой политики, связанных с дочерними организационными единицами, если объекты групповой политики содержат конфликтующие параметры. При применении родительская ссылка на объект групповой политики всегда имеет приоритет. По умолчанию ссылки на объекты групповой политики не применяются.

РЕДАКТИРОВАТЬ:

Смотрите здесь также: GPO предоставляет неожиданную ценность

Там конкретно говорится:

Параметр Enforce является свойством связи между контейнером Active Directory и объектом групповой политики. Он используется для принудительного применения этого объекта групповой политики ко всем объектам Active Directory в контейнере, независимо от того, насколько глубоко они вложены. Параметры в принудительном объекте групповой политики переопределяют другие параметры, которые имеют преимущественную силу, поскольку применяются позже. Если в объектах групповой политики существуют противоречивые параметры, применяемые на двух уровнях иерархии, то параметр, установленный наиболее удаленно от клиента, имеет преимущественную силу. Это аннулирование обычного правила , при котором параметр из объекта групповой политики, ближайшего к нему, имеет преимущественную силу.

Райан Райс
источник
1
Так что тогда правильно, в приведенном выше примере объект GPO, связанный с сайтом, действительно победит. Спасибо.
PnP
TheD - Просто чтобы прояснить, это относится к настройкам, которые являются общими для обоих объектов групповой политики. Если в связанном объекте групповой политики есть параметры, которые не заданы в связанном объекте групповой политики, то эти параметры будут применяться связанным объектом групповой политики. Иерархия принудительного применения вступает в силу только при наличии общих настроек в обоих объектах групповой политики.
Joeqwerty
4

Райан (и я: P) ответил на вопрос о том, как обрабатываются 2 или более принудительных объектов групповой политики, но я хотел уточнить, что хотя GPO3, связанный с сайтом, будет «побеждать», последовательность действий ОП относительно их применения не верна.

ФП заявляет:

Теперь мое понимание будет означать, что они будут применяться в этом порядке, от первого до последнего, чтобы применить (таким образом, тот, который имеет наибольшее преимущество).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Помня это:

введите описание изображения здесь

Что касается самой последовательности (включая принудительное применение, но, в частности, порядок последовательности, который рассматриваются объектами групповой политики при обработке):

GPO3 (с любыми его настройками, имеющими приоритет и начиная с этого момента)

->

GPO1 или GPO2 (в зависимости от порядка ссылок на уровне домена из этих 2, с применением GPO2, за исключением случаев, когда параметры GPO3 отменяются, поскольку GPO3 применяется на уровне сайта)

->

GPO4 или GPO5 (в зависимости от порядка ссылок на уровне OU этих 2, с применением GPO5, за исключением случаев, когда настройки GPO2 или GPO3 отменяются)

Очиститель
источник
Извините, но каков порядок обработки, например: GPOx -> GPOx, извинения, но ваше объяснение немного смутило меня!
PnP
Допустим, порядок ссылок не изменился, поэтому просто объекты GPO связаны с OU и сайтом и т. Д., В каком порядке они обрабатываются в отношении первого GPO и последнего GPO.
PnP
Сам вопрос гласит, что заказывайте их в том порядке, в котором они будут применены к клиентскому ПК. Спасибо!
PnP
Я не могу ответить на основании того, какой тест ХОЧЕТ получить ответ ... но ВСЕГДА существует порядок ссылок, когда 2 или более объектов групповой политики применяются на уровне, даже если вы не устанавливали его вручную. Вы можете увидеть это в консоли управления групповыми политиками, просматривая вкладку «Связанные объекты групповой политики» для любого уровня, на котором вы находитесь. Объекты групповой политики всегда обрабатываются в ПОРЯДКЕ, который находится на картинке, которую я разместил. Это не означает, что они будут иметь приоритет или применяться, только то, что это тот порядок, на который они смотрят при принятии решения. Я изменил «код», который я разместил, чтобы помочь вам уточнить.
TheCleaner
Мой запрос таков: вы показываете, что GP03 на самом деле обрабатывается первым, но я думал, что те, кто имеет наивысший приоритет и обрабатываются последними, следовательно, имеют последнее право на Политику.
PnP