AD之Group Policy
群組原則的套用範圍包含了站台、網域與組織單位等容器,套用機制具有下列特性:
繼承 (Inheritance):
在 AD 架構中,下層容器會繼承上層容器之 GPO 設定。在整個繼承關係中,最上層為站台,其下依序為網域、組織單位;若有多層組織單位,則下層組織單位會繼承上層組織單位的 GPO。
累加 (Cumulation):
累加 (Cumulation):
在群組原則的套用上,下層容器會先套用繼承自上層容器的群組原則,再套用連結本身的群組原則。當上層的設定項目與下層不同時,有效群組原則是上下層的聯集;若是對同一項目做不同的設定,則先套用的原則 (上層原則) 會被後套用的原則 (下層原則) 覆蓋。
優先順序性 (Precedence):
優先順序性 (Precedence):
群組原則的套用順序為:本機→站台→網域→上層組織單位→下層組織單位。若不考慮「不可強制覆蓋」與「不要繼承原則」,原則上是“後套用的設定值覆蓋先套用的設定值”;若同一物件套用多個群組原則,在群組原則物件連結清單中,排在比較下面的 GPO 會先套用,然後依序套用上面的 GPO。
電腦設定生效時機
1. 電腦下次開機時。
2. 自動更新時間:在預設情形下,非網域控制站的成員電腦每隔 90 分鐘 ± 隨機時間(1~30 分鐘)向網域控制站要求更新電腦群組原則,網域控制站則每隔 5 分鐘更新群組原則。
3. 手動更新:執行指令「gpupdate /target:computer」或「gpupdate /force」立即更新。
使用者設定生效時機
1. 使用者下次登入時。
2. 自動更新時間:預設為 90 分鐘 ± 隨機時間(1~30 分鐘)。
3. 手動更新:執行指令「gpupdate /target:user」或「gpupdate /force」立即更新。
Group Policy套用順序:Site->Domain->OU
1.網域控制站安全性原則
(其設定可蓋過所有為網域控制站的本機安全性原則,不包含其網域下的其它工作站)
2.本機安全性原則
(儘限於該台網域控制站專用,但會被網域控制站安全性原則蓋過)
3.網域安全性原則
(其設定可蓋過所有該網域下工作站的本機安全性原則,不包含網域控制站)
4.組織的群組原則
(其設定可蓋過該組織下工作站的本機安全性原則,但會被網域安全性原則蓋過)
套用的順序為:本機–>站台–>網域–>組織單位,不互斥則有累加性,互斥則後蓋前。
本機安全性原則指令
gpedit.msc
網域安全性原則指令(在AD上才有)
secedit
gpupdate /force
電腦設定生效時機
1. 電腦下次開機時。
2. 自動更新時間:在預設情形下,非網域控制站的成員電腦每隔 90 分鐘 ± 隨機時間(1~30 分鐘)向網域控制站要求更新電腦群組原則,網域控制站則每隔 5 分鐘更新群組原則。
3. 手動更新:執行指令「gpupdate /target:computer」或「gpupdate /force」立即更新。
使用者設定生效時機
1. 使用者下次登入時。
2. 自動更新時間:預設為 90 分鐘 ± 隨機時間(1~30 分鐘)。
3. 手動更新:執行指令「gpupdate /target:user」或「gpupdate /force」立即更新。
Group Policy套用順序:Site->Domain->OU
1.網域控制站安全性原則
(其設定可蓋過所有為網域控制站的本機安全性原則,不包含其網域下的其它工作站)
2.本機安全性原則
(儘限於該台網域控制站專用,但會被網域控制站安全性原則蓋過)
3.網域安全性原則
(其設定可蓋過所有該網域下工作站的本機安全性原則,不包含網域控制站)
4.組織的群組原則
(其設定可蓋過該組織下工作站的本機安全性原則,但會被網域安全性原則蓋過)
套用的順序為:本機–>站台–>網域–>組織單位,不互斥則有累加性,互斥則後蓋前。
本機安全性原則指令
gpedit.msc
網域安全性原則指令(在AD上才有)
secedit
gpupdate /force
gpresult /z
沒有留言:
張貼留言