Принудительный приоритет GPO
Каков приоритет для Enforeced GPO, я не могу найти никаких статей MS, которые дают уточненный ответ.
Мое текущее понимание таково:
Допустим, у нас есть 5 GPO - от GPO1 до GP05. Я воспользуюсь экзаменационным вопросом, чтобы понять контекст.
GPO Linked to Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 - Site 1 - Yes
GP04 - OU1 - No
GP05 - OU1 - Yes
Теперь, как я понимаю, они будут применяться в этом порядке, от первого, чтобы применить, до последнего, чтобы применить (таким образом, тот, который имеет наибольший приоритет).
GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)
Правильно ли я понимаю? Большое спасибо!
Я писал об этом здесь: http://myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx
TL; DR - побеждает верхний или родительский объект групповой политики, который также применяется принудительно.
От Microsoft:
Вы можете указать, что параметры в ссылке GPO должны иметь приоритет над параметрами любого дочернего объекта, установив для этой ссылки значение «Принудительно». Принудительные GPO-ссылки не могут быть заблокированы из родительского контейнера. Без принудительного исполнения сверху настройки ссылок GPO на более высоком уровне (родительском) перезаписываются настройками в GPO, связанных с дочерними организационными подразделениями, если GPO содержат конфликтующие настройки. При принудительном применении ссылка на родительский объект групповой политики всегда имеет приоритет. По умолчанию ссылки GPO не применяются.
РЕДАКТИРОВАТЬ:
Смотрите также здесь: GPO предоставляет неожиданное значение
Там конкретно говорится:
Параметр Enforce - это свойство связи между контейнером Active Directory и GPO. Он используется для принудительного применения этого объекта групповой политики ко всем объектам Active Directory в контейнере, независимо от того, насколько глубоко они вложены. Принудительные параметры в объекте групповой политики имеют приоритет над другими параметрами, которые будут иметь преимущественную силу, поскольку они применяются позже. Если есть конфликтующие параметры в объектах групповой политики, которые применяются на двух уровнях иерархии, приоритетным является параметр, применяемый дальше всего от клиента. Это изменение обычного правила, в котором будет преобладать параметр из ближайшего связанного объекта групповой политики.
Райан (и я: P) ответил на вопрос о том, как обрабатываются 2 или более принудительных GPO, но я хотел уточнить, что хотя GPO3, связанный с сайтом, «выиграет», последовательность OP для того, как они применяются, неверна.
В ОП говорится:
Теперь, как я понимаю, они будут применяться в этом порядке, от первого, чтобы применить, до последнего, чтобы применить (таким образом, тот, который имеет наибольший приоритет).
GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)
Помня об этом:
Что касается самой последовательности (включая принудительное исполнение, но, в частности, порядок следования, на который смотрят объекты групповой политики при обработке):
GPO3 (с соблюдением любых его настроек и имеющими приоритет с этого момента)
->
GPO1 или GPO2 (в зависимости от порядка ссылок на уровне домена из этих 2, с принудительным применением GPO2, кроме тех случаев, когда настройки GPO3 имеют приоритет, поскольку GPO3 применяется на уровне сайта)
->
GPO4 или GPO5 (в зависимости от порядка соединения на уровне OU из этих 2, с принудительным применением GPO5, за исключением случаев, когда настройки GPO2 или GPO3 имеют преимущественную силу)