Win2000组策略冲突分析
网络与通信
从以前的文章我们已经了解到,通过Win2000组策略,可以对用户环境进行定义或者限制,如用户使用的软件、桌面环境、开始菜单里包含的程序等等,它能为你的管理带来很大的方便。但是初学者往往对组策略实施的一些具体细则感到迷惑,尤其是当组策略存在冲突的时候,到底哪个策略生效这一问题令很多人非常头疼。
现在我们就来给大家做一个清楚的解答。我们以配置用户桌面上有无“网上邻居”图标这一策略项为例来分析组策略冲突时的生效级别。
一、同一OU上多个组策略
我们先在“Active Directory用户和计算机”中新建一个OU(组织单元)“1”,并在其中新建一个用户“chen”。然后我们给“1”这个OU建立两个组策略:一个命名为“有‘网上邻居’”,并对其进行配置,停用“隐藏桌面上的‘网上邻居’图标”这一项目((图1));另一个命名为“无‘网上邻居’”,并对其进行配置,启用“隐藏桌面上的‘网上邻居’图标”这一项目((图2))。
当这两个互相存在冲突的策略同时作用于OU“1”时,以排在最上面策略为准(策略由下而上执行,以最后执行的为准)((图3))。即用户chen登录时桌面上还是有“网上邻居”图标的。
如果我们对排列在下的“无‘网上邻居’”策略设置了“禁止替代”((图4)),或者两者都设置了“禁止替代”((图5)),则以排在下面的“无‘网上邻居’”为准,即OU“1”中的用户chen登录时桌面上将没有“网上邻居”图标。其原因是“禁止替代”具有强行执行的效力,并且,依据“禁止替代的权限不可下降”的原则,先执行的“不可替代”项目将屏蔽掉其后执行的“禁止替代”项目。
二、父OU和子OU
在域上新建OU“2”,并建立它的子OU“2(1)”,同时在子OU“2(1)”中建立用户“zhang”。
在父OU“2”上新建一个组策略“无‘网上邻居’”((图6)),并对其进行相应配置;在子OU“2(1)”上新建组策略“有‘网上邻居’”((图7)),并对其进行相应配置。
大家知道一个OU上的组策略在默认情况下是要继承到其子OU上的。而这时子OU中的策略项目和其父OU上的项目存在冲突。在这种情况下,以子OU上的项目为准(先执行父OU上的策略,后执行子OU上的策略,以后执行的为准),即子OU中的用户zhang登录时,桌面上仍然有“网上邻居”图标。
另外,与第一种情况相同,如果父OU“2”上的“无‘网上邻居’”策略设置了“禁止替代”((图8)),即便是子OU“2(1)”上的“有‘网上邻居’”也设置了“不可替代”,其最终执行结果依旧以先执行的父OU为准,即桌面无“网上邻居”。
三、“阻止策略继承”与“禁止替代”
“阻止策略继承”将阻断子OU从父级OU乃至更高级OU或域上继承组策略设置。而在父级OU的策略上设置“禁止替代”((图8)),将使设置在子OU上的“阻止策略继承”((图9))失效。即这时用户zhang登录时,产生效果的依旧是从父级OU上继承下来的,被设置为“禁止替代”的策略──“无‘网上邻居’”,这时桌面上将没有“网上邻居”图标。
