|
Рисунок 1.2 Порядок старшинства объектов GPO
|
| bet | 16/91 | | Sana | 18.02.2022 | | Hajmi | 1.32 Mb. | | #15622 | | Turi | Руководство |
Рисунок 1.2 Порядок старшинства объектов GPO
На предыдущем рисунке показан порядок старшинства объектов GPO, применяемых к компьютеру, входящему в дочернее подразделение, начиная от самого низшего приоритета (1) и до высшего (5). Сначала применяется групповая политика, заданная локально на каждом из компьютеров под управлением Windows 7. После этого применяются объекты GPO уровня сайта, затем уровня домена.
К клиентским компьютерам под управлением Windows 7, расположенным во вложенных несколько раз подразделениях, объекты GPO применяются в направлении от родительского подразделения до самого внутреннего дочернего. Последний из применяемых объектов GPO принадлежит тому подразделению, в которое непосредственно входит компьютер. Такой порядок обработки — сначала локальные настройки, затем параметры сайта, домена, родительского подразделения и, наконец, дочернего — очень важен, поскольку более поздний объект GPO заменяет параметры из более ранних. К пользователям объекты GPO применяются ровно так же.
При проектировании групповой политики необходимо помнить о следующем.
Администратор должен задать порядок, в котором несколько объектов GPO привязываются к подразделению, иначе групповая политика будет по умолчанию вводиться в том порядке, в котором объекты привязывались. Порядок старшинства привязанных объектов отображается в списке Link Order (порядок привязки) консоли GPMC. Если один и тот же параметр настроен в нескольких политиках, приоритет будет иметь политика, идущая в списке первой.
Объекту GPO можно установить параметр Enforced (принудительный). Однако, в этом случае другие объекты GPO не смогут переопределить параметры, содержащиеся в таком GPO.
Сайту, домену или подразделению Active Directory можно назначить параметр Block policy inheritance (блокировать наследование политики). В этом случае будут проигнорированы параметры из объектов GPO, расположенных выше по иерархии Active Directory, если только они не отмечены флагом Enforced (принудительный). Другими словами, параметр Enforced имеет приоритет над параметром Block policy inheritance.
Параметры групповой политики применяются к пользователям и компьютерам в зависимости от положения этих объектов в иерархии AD DS. В некоторых случаях может потребоваться, чтобы к объектам, представляющим пользователей, политики применялись в зависимости от расположения объекта, представляющего соответствующий компьютер. Тогда пригодится режим замыкания групповой политики, в рамках которого параметры групповой политики пользователя применяются в зависимости от компьютера, с которого пользователь выполнил вход. В статье «Режим замыкания при обработке групповой политики» об этой возможности рассказано подробнее.
|
| |
