在企业实施Windows Server 2003的域环境中,很多的网络管理员都遇到了组策略的逻辑错误。也就说,网络管理员在DC(Domain Control)上设置好的组策略,在客户端或其他服务器端没能实现。通常这样的错误称为逻辑错误。为什么会出现这样的逻辑错误呢?
首先,要了解可以实施组策略的容器,它们分别是:域(Domain),组织单元(OU),站点(Site)。
在不同的容器上设置组策略,组策略的应用范围也不相同。当应用范围发生重叠时,就容易产生组策略的逻辑错误。
 |
| 图1 策略顺序 |
当组策略产生冲突时,OU的组策略设置覆盖Domain的组策略设置;Domain的组策略设置覆盖Site的组策略设置;Site的组策略设置覆盖Local策略设置。
在同一容器上多个组策略产生冲突时,排列在组策略列表中最上方的组策略的设置生效。
第三,组策略的继承性。在默认情况下子容器总是继承父容器的组策略设置。可以通过以下两种设置方式更改组策略的继承性。
阻止继承。子容器可以设置阻止继承,以便让子容器自身的组策略设置生效(如图2所示)。
 |
| 图2 设置组织继承 |
禁止覆盖。当您想使某个组策略的设置不被后执行的组策略的设置所覆盖,可以使用组策略的禁止覆盖功能。如图3所示,当Sales_GPO1的设置与后执行的组策略设置产生冲突时,由于Sales_GPO1策略已被设置成禁止覆盖了,所以Sales_GPO1的设置生效。
 |
| 图3 禁止覆盖 |
第四,组策略的环回处理技术。在组策略中有“计算机配置”和“用户配置”两个节点,计算机在启动时应用的是“计算机配置”,用户在登录时应用的是“用户配置”,当一台计算机由多个用户使用时,为保证不论哪一个用户登录此计算机配置一致,可以使用组策略的环回处理技术(如图4所示)。
 |
| 图4 组策略环回处理 |
有如下两种模式。
合并:将“计算机配置”和“用户配置”合并。
替换:用“计算机配置”替换“用户配置”。
最后,使用组策略防止冲突的小技巧,就是利用OU的单一管理性。在创建OU时为企业内的每个部门创建两个OU,一个用来存储该部门的计算机账户,另一个用来存储该部门的用户账户。这样可以减少组策略设置的冲突。
