Назад | Перейти на главную страницу

Локальный GPO против применяемого GPO DC

Согласно gpresult /r, существует существующий объект групповой политики DC, применяемый для доверенных сайтов.

Имя GPO: GPO-NAM-IE-TRUSTEDSITES

Я добавил сайт в зону сайтов безопасности Internet Explorer через редактор локальной групповой политики (gpedit.msc). Ран gpupdate /force и перезагружаем бокс. Сайт добавлен в список доверенных сайтов IE.

Означает ли это, что локальный объект групповой политики всегда имеет приоритет над объектом групповой политики, применяемым к DC, или в случае, если настройка выполняется для одного и того же объекта? Что такое практическое правило? ИЛИ

Возможно ли, что GPO, применяемый к DC, неправильно настроен? ИЛИ

Может быть, это связано с тем, что мой идентификатор пользователя домена является членом группы администраторов на моем компьютере с Win7?

Пожалуйста, объясни..

Это ожидаемое поведение. Параметры списка назначений сайта Internet Explorer для зоны объединяются, если есть параметры из нескольких политик. Вы можете использовать gpresult / h для отображения результирующего набора политик и выигрышных политик.

Если бы все назначения зон сайтам были в одном значении реестра, политика домена переопределила бы локальную политику. Если один и тот же сайт был указан как в политике домена, так и в локальной групповой политике, политика домена переопределила бы локальную политику. Например, если microsoft.com был определен в зоне Интернета в политике домена, а зона надежных сайтов - в локальной политике, параметр политики домена будет иметь приоритет, и microsoft.com будет находиться в зоне Интернета. Но каждый сайт - это отдельный параметр реестра, и настройки для отдельных сайтов объединены.

Единственный способ предотвратить установку параметров локальной политики - включить параметр групповой политики:

Компьютер> Политики> Административные шаблоны> Система> Групповая политика: отключите обработку объектов локальной групповой политики.

Как сказал Грег в своем ответе, настройки Internet Explorer Site To Zone Assignment List объединяются, если есть настройки из нескольких политик.

Но чтобы ответить на ваш общий вопрос: Does this mean that local GPO always take precedence over DC applied GPO or in case configuration is done on same object? What is rule of thumb?

Если на минуту игнорировать принудительное применение политик и блокировку наследования, групповые политики применяются в следующем порядке приоритета:

LSDOU:

Местный

Сайт

Домен

Организационная единица

Это означает, что локальная групповая политика применяется первой и имеет самый низкий приоритет, что означает, что при конфликте параметров политики (параметр политики, настроенный более чем в одной политике), локальная групповая политика будет замещена политиками, связанными с сайтом, Политики, связанные с доменом, и политики, связанные с организационными подразделениями.