文档介绍:组策略处理和优先级
应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。
处理设置的顺序
本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第 3 步和第 8 步。
组策略设置是按下列顺序进行处理的:
—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处理该内容。
—接下来要处理任何已经链接到计算机所属站点的 GPO。处理的顺序是由管理员在组策略管理控制台(GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的 GPO 最后处理,因此具有最高的优先级。
—多个域链接 GPO 的处理顺序是由管理员在 GPMC 中该域的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的 GPO 最后处理,因此具有最高的优先级。
—链接到 Active Directory 层次结构中最高层组织单位的 GPO 最先处理,然后是链接到其子组织单位的 GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的 GPO。
在 Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接 GPO。如果一个组织单位链接了几个 GPO,它们的处理顺序则由管理员在 GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的 GPO 最后处理,因此具有最高的优先级。
该顺序意味着首先会处理本地 GPO,最后处理链接到计算机或用户直接所属的组织单位的 GPO,它会覆盖以前 GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。)
返回页面顶部返回页面顶部
设置默认处理顺序的例外
设置的默认处理顺序受下列例外情况的影响:
GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。
GPO 可以禁用其用户设置、禁用其计算机设置,也可以禁用所有设置。默认情况下,GPO 上的用户设置和计算机设置都不禁用。
组织单位或域可以设置成“阻止继承”。默认情况下,不设置成“阻止继承”。
有关默认行为的上述修改的信息,请参阅管理组策略继承。
作为工作组成员的计算机仅处理本地组策略对象。
可以启用环回。有关环回的信息,请参阅在合并或替换时启用环回处理。
启动和登录
下面的序列显示了计算机启动和用户登录时计算机策略和用户策略的应用顺序:
。远程过程调用系统服务(RPCSS) 和多重通用命名约定提供程序(MUP) 启动。(Windows XP Professional 是该规则的一个例外。默认情况下,在 Windows XP Professional 中组策略处理不会等待网络启动。该默认行为可通过策略设置进行更改。)
GPO 顺序列表。该列表可能取决于下列因素:
计算机是否属于域,并因此通过 Active Directory 受组策略的控制。
计算机在 Active Directory 中的位置。
组策略对象列表是否已经更改。如果 GPO 列表没有更改,则不进行