扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
笔者在域控制器的组策略管理中,遇到的最头疼的问题就是组策略权限的继承问题。我们都知道,为了便于权限的设置,组策略的配置具有继承的特性。也就是说,默认情况下,上级的配置会传递给下级,即使下面一级没有这方面的权限,等等。故,在对企业网络进行组策略管理之前,我们需要先明白组策略的这个继承特性,才能够在后续的管理中,事半功倍。否则的话,我们只会事倍功半。
假设名为现在有如下一个简单的网络架构。
在域OU设置中,有一个办公文员的OU,其在组策略设置中,当系统登陆的时候,默认的用户名是上次登陆的用户。也就是说,在系统登陆的窗口中,会显示出上次登陆的帐户名。现在这个OU下面,还有一个名字为销售人员的OU。在这种架构下,办公文员OU称为父OU,销售人员的OU称为子OU。
现在我们就来看看组策略是如何继承的。
一、 销售人员OU继承办公文员OU的组策略
如果父OU的配置了某个组策略,但其子OU没有配置这个组策略,则父OU就会把这个子OU的组策略传递给子OU,从而实现组策略的继承功能。这里要注意一个问题,就是这里的“子OU没有配置这个组策略”,是指没有配置过类似的组策略,如果配置过,不管是允许还是禁止,则都不会再发生组策略的继承。
也就是说,如果办公文员这个OU中,网络管理员配置了一个组策略,在系统登陆的时候显示上次登陆的用户名。而若在其子OU销售人员OU中,没有对这个组策略进行任何的配置,(也许默认的情况下,利用域帐户登陆的话,是不显示上次登陆的用户名)。此时,域控制器就会认为销售人员OU中没有对这个策略进行过配置,就会继承办公文员这个OU的组策略,在下次登陆的时候,显示上一次登陆的域帐户名。
并且,这个组策略的继承还会一直延续下去。如在这个销售人员组中,下面还有销售一组、二组的OU时,这个办公文员组的组策略就会一直传递给销售一组、销售二组等等。但是,这里要注意一点,就是我们在查看子OU的组策略的时候,是不会显示父OU的组策略。也就是说,组策略继承给销售人员这个OU的时候,我们看其组策略的设置,其这个 “显示上次登陆帐户名”这个组策略,仍然没有被配置。但是,其确确实实继承了这个组策略。所以,这就给我们组策略维护的时候,有一定的迷惑度。
二、 销售人员OU抵制办公文员OU的组策略
上面我们都次强调,在组策略继承中,必须子OU对应的组策略没有经过默认配置的情况下,虽然其可能具有默认值,才能够发生组策略的继承事件。但是,若子OU对对应的组策略进行了设置,即使只是显示的反应其默认值,这这个继承就会被打断。
利用官方的话说,就是如果子容器内的某个策略被配置,则此配置值就会覆盖由其父容器所传递下来的配置值。这句话有两个意思。
一是当父OU配置了某个组策略,而子OU也配置了这个组策略,则无论这两个组策略是否一致,则子OU都不会继承父OU的这个组策略。也就是说,若子OU的组策略配置即使跟父OU的组策略配置是一样的,其也是直接使用自己的组策略,而不会去关心父OU的组策略倒是是如何配置的。若他们的组策略配置相互矛盾,则子OU更加不会理睬父OU的组策略。儿子大了,做老爸的也管不住了。
二是若父OU配置了某个组策略,而当时子OU还没有对这个组策略配置过,则子OU会继承这个父OU。但是,后来网络管理员发现子OU不能采用这个组策略,就在子OU的组策略中重新设置了。此时,这个重新设置的值就会覆盖父OU组策略传递下来的值。
下面笔者就举一个例子来加深大家对这个原则的理解。
假设,在父OU办公文员这个组上,我们网络管理员出于安全方面的考虑,设置了一个“禁止在桌面上显示网络邻居”的组策略。此时,若子OU销售管理员组一开始就设置了这个组策略,不管其是禁止还是允许,则子OU都不会考虑继承父OU的这个组策略。也就是说,当儿子的有了自己的注意之后,就不会听老子的话了。若子OU刚开始没有配置这个组组策略,则当销售管理员这个OU加入到办公文员这个OU中后,则其就会继承父OU的这个组策略。但是,后来网络管理员出于某些考虑,在子OU这个组策略上,设置为“允许在桌面上显示网络邻居”,此时这个配置值就会覆盖掉原有的父OU继承下来的配置值。
以上两个原则就是组策略继承中的两个基本定律。在实际工作中,除了以上的这些规则外,还需要知道一些不成文的规定,或者叫做优先性问题。
1、 计算机配置与用户配置的优先性问题
域中的组策略,跟计算机本身的组策略一样,也有计算机配置与用户配置两类。现在万一出现这种情况,如果我们不小心在配置组策略的时候,计算机配置与用户配置起了冲突,该怎么处理呢?
一般情况下,系统是 以计算机配置优先,而不管计算机配置与用户配置的先后性问题。也就是说,在计算机配置中,配置了“禁止在桌面上显示网络邻居”的组策略,而在用户配置中,又设置其为允许的。此时,虽然用户配置在后,但是,用户登录后,在桌面上仍然找不到网络邻居的配置。可见,计算机配置要比用户配置优先性高。
所以,为了避免后续工作的麻烦,网络管理员在配置组策略的时候,最好就采用单一的配置模式,要么通过用户配置来实现,要么通过计算机配置来实现。不过,一般情况下,在用户人手一台主机的情况下,还是建议通过计算机配置来实现组策略。
2、 组策略的累加问题
在上面的阐述中,笔者已经谈到了组策略继承中的累积问题。也就是说,如果用户的组其有三层,分别为办公文员、销售管理与销售一组三个OU。而销售一组这个相当于是孙子,其会继承所有办公文员、销售管理OU中的组策略,当然,前期是销售二组的OU没有配置对应的组策略。这个组策略的累加问题,在某些方面有利于我们组策略的配置。但是,凡事有利必有弊,当权限累加的多了,则我们后续管理会非常的麻烦。为此,笔者建议,在规划OU层次的时候,不要太多,一般情况下,不要超过三层。若超过这个层数,达到四层、五层甚至更多,则作为网络管理人员,就很难控制这个权限的累加问题。
3、 本地计算机策略与OU组策略的优先性问题
我们都知道,在用户本机也可以配置组策略,来管理计算机。在以前的文章中,笔者也谈到过类似的问题。现在企业若引入了域控制器的话,则就会产生一个新的问题。如果域控制器,如OU的组策略与用户本机的组策略相冲突的话,则该如何处理呢?
如在企业还没有采用域控制器或者没有采用域组策略管理之前,就通过计算机的本地组策略来进行计算机管理,如在本地计算机组策略中,设置了“禁止在桌面上显示网络邻居” 的组策略。但是,在使用域管理后,网络管理员觉得在桌面上没有显示网络邻居非常的不方便,所以,就在域级别上,设置了允许在桌面上显示网络邻居这个组策略。当计算机加入到这个域之后,本级计算机组策略与域计算机组策略就发生了冲突。在这种情况下,是域组策略优先。
这跟上面提到的子OU拒绝父OU的组策略是有区别的,我们在组策略管理的时候,需要注意这个问题。
4、 子OU拒绝继承父OU的组策略
在组策略的管理中,我们还可以通过设置实现,子OU无论在什么情况下,都拒绝继承父OU的组策略。也就是说,直接采用子OU的组策略值,当子OU某些组策略没有配置的话,就直接使用默认值。
也就是说,现在有个办公文员的OU,其设置了“禁止在桌面上显示网络邻居”这个组策略。若我们在建立销售管理人员OU的时候,设置了“阻止策略继承”,则当我们把销售管理人员OU加入到办公文员OU中,则销售管理人员这个OU是不会继承父OU中的任何一个组策略的。即使,销售人员OU根本没有配置“在桌面上显示网络邻居”这个组策略,其仍然是采用默认值。
不管一般情况下,我们是不建议采用这个“阻止策略继承”选项的,因为如此的话,我们就需要在子OU上,一个一个的配置了。这么处理起来的话,就会增加工作量。只有在子OU跟父OU组策略相差十万八千里的情况下,才使用这个策略。当稍有差异的时候,我们可以在子OU上通过配置对应的组策略来覆盖上面继承下来的值,而不需要通过采用“阻止策略继承”的极端方法来实现。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者