集团战略管理中的困难继承

在域控制器的组策略管理,最麻烦的问题是组策略的继承问题。我们都知道,组策略配置的遗传特性,方便的权限设置。也就是说,默认情况下,其优越的配置将被传递到下水平,即使以下级别没有权威,等等。因此,我们需要在我们的企业网络管理组策略理解组策略的继承性,所以我们可以在后续管理事半功倍。否则,我们只会事倍功半。


假定现在有一个简单的网络体系结构如下。


在域设置中,有一个职员。登陆时,默认用户名是登陆的最后一个用户,也就是说,在系统登陆的窗口,将显示最后登陆的账号名称,现在在这里,有一个名为推销员的名字,在这个框架内,办公室职员叫欧欧之父,你的销售人员叫欧。


现在让我们看看组策略是如何继承的。


一、集团战略的推销员,要继承官方的欧


如果父OU配置组策略,但是其子欧不配置此组策略,那么父欧将子OU的组策略子OU,从而实现组策略的继承功能。这里要注意一个问题:你不在这里;子没有配置此组策略;这意味着没有类似的组策略配置了。如果配置了,无论是允许还是禁止,那么组策略继承都不会再次发生。


也就是说,如果我们运行这个欧文件文员,网络管理员配置组策略来显示最后一个用户名在系统登陆。如果在其儿子OU salesperson OU没有配置此组策略的,(也许在默认情况下,使用域帐户登录,它将不显示最后一个用户的名字。在这一点上,域控制器会认为销售人员你没有配置的策略,并将继承官方职员OU的组策略。下次登录时,我们将显示最后一个域帐户名。


这一集团战略的继承将继续下去,例如,在这个销售团队中,也有两个集团在出售。办公室职员的组策略将通过一组销售,销售组等等。但是,这里需要注意的一点是,当我们看的儿子OU的组策略,它不是一个组策略显示父OU。也就是说,当组策略继承到售货员欧,我们看到它的组策略,设置其最后登录帐户,这仍然是没有配置。但它继承这个组策略。所以,这给我们提供了一定程度的混乱,这是保持我们的组策略。


两。销售人员抵制集团员工办公室策略


正如上面提到的,在组策略继承中,我们必须有相应的子策略,而不需要缺省配置。尽管它可能具有默认值,但我们可以生成组策略的继承策略。但是,如果子节点设置相应的组策略,则该继承将被中断,即使该显示只是响应的默认值。







在正式的方式中,如果配置了子容器中的策略,配置值将覆盖其父容器传递的配置值。


首先,当父OU配置组策略和子OU配置组策略,无论两集团的政策是一致的,那么分你不会继承父OU的组策略。也就是说,如果孩子你的组策略配置,亲欧的组策略同样的,它也直接使用自己的组策略,而不关心如何亲欧的组策略配置。如果他们的组策略配置是矛盾的,子欧不注重父OU的组策略。我儿子太大是一个父亲。


二是如果父OU配置组策略,然后孩子你尚未配置此组策略,孩子你会继承父OU。然而,网络管理员后来发现亚欧不能使用这个组策略和配置它的子OU的组策略的。这一点,重新配置的值将覆盖父OU的组策略传递的值。


我将举一个例子来加深我们对这个原则的理解。


假设在官方的OU集团,我们的网络管理员建立一个安全的原因,并禁止在桌面上显示网络邻居组策略。在这一点上,如果分区销售经理集团开始设立本集团的政策,无论是禁止或允许的,然后分你不会考虑继承父OU的组策略。也就是说,当儿子有他自己的关注,他不会听Lao Tzu的话。如果OU没有在开始配置此组策略,当销售经理OU加入到办公室文员的鸥,它将继承父OU的组策略。然而,经过一番考虑,网络管理员设置的子啊U组在考虑一些策略的基础上,允许在桌面上显示网络邻居。此时,配置值将覆盖从原始父节点继承的配置值。


这两个原则是集团战略继承的两个基本规律,在实际工作中,除了上述规则外,还需要了解一些不成文的规定或优先事项。


1,计算机配置和用户配置的优先问题


域中的组策略,如计算机本身的组策略,也有两种类型的计算机配置和用户配置。应该做什么


总的来说,这个系统是计算机配置的优先级,无论计算机配置和用户配置的问题。也就是说,在计算机的配置,配置;组策略禁止网络邻居在桌面上显示的是禁止的,并且在用户配置允许的。在这点,虽然用户配置,用户仍然无法找到网络邻居后在桌面用户登录配置。可以看出,电脑配置高于用户配置优先。


因此,为了避免后续工作的麻烦,当网络管理员配置组策略,它是更好地使用一个单一的配置方式,可以由用户配置和计算机配置。一般来说,然而,在一个主机的情况下,它也表明,通过组策略计算机配置的实现。







2。群体战略的累积问题


在上面的描述中,我已经谈到了在组策略的继承累积的问题。也就是说,如果用户的组有三层,他们的官方文件、销售管理和三欧销售组和销售组这孙子,它将继承所有的办公室职员,课程销售管理OU组策略,,早期的销售是你的两组没有配置相应的组策略。此组策略的累积的问题在某些方面是有利于我们的组策略配置。然而,优点和缺点的所有事情,当权限添加,那么我们的后续管理会很麻烦。为此,我建议,在T计划他欧水平,不要太多,一般来说,不要超过三层。如果超过层数达到四,五,甚至更多,很难控制这个权威的积累作为一个网络管理员。


三.本土计算机战略优先与欧群战略


我们都知道,一个组策略也可以配置为在用户的本地机器管理的计算机。在前面的文章中,我也谈到了类似的问题。现在如果域控制器中引入了企业,一个新的问题将被创建。如果域控制器,如欧冲突随着用户的本地组策略组策略,如何处理它


如果没有用在企业的域控制器或不使用域组策略管理,通过计算机的本地组策略的计算机管理,如本地计算机的组策略,建立一个网络邻居;禁止在桌面上;组策略。然而,使用域管理后,网络管理员认为它是不显示桌面上的网络邻居很方便。因此,在域级别,我们设置一个组策略,允许网络邻居在桌面上显示。当计算机被添加到这个域时,本地计算机组策略与域计算机组策略冲突。


这不同于上面提到的组策略,即拒绝母节点,在管理组策略时需要注意这个问题。


4、子女拒母继承的集团政策


在组策略的管理,我们也可以通过建立subou的实施,在任何情况下,拒绝继承父OU的组策略。也就是说,直接欧集团战略,当一些欧集团的政策是不配置,默认值的直接使用。


That is to say, now there is a OU for the official, which sets up the ldquo; it is forbidden to display the network neighbor on the desktop; this group strategy.If we are building sales manager OU, we set up ldquo, prevent strategy inherit , and when we add OU, a sales manager, to office clerk OU, the OU of sales manager will not inherit any group policy in parent OU.Even if the salesperson OU does not configure ldquo at all; the network neighbor is displayed on the desktop; this group policy is still using the default value.


正常情况下,我们不推荐我们应该防止从继承的策略;在这种情况下,我们需要通过一个配置的子OU的。这会增加工作量。这种策略是只有当孩子欧和母欧组策略之间的差异是十万八千英里的应用当有轻微的差异,我们可以配置在亚欧相应的组策略覆盖继承上面的值,没有极端的方法和。