Наследование групповой политики
В статье СВЯЗИ ГРУППОВОЙ ПОЛИТИКИ было написано, что при привязывании объекта групповой политики к домену, объект групповой политики применяется к компьютерам и пользователям в каждом подразделении и дочернем OU этого домена. Аналогично при связывании объекта GPO с OU, объект применяется к пользователям и компьютерам в каждом дочернем OU. Эта концепция называется наследованием.
Например, если Вы создаете GPO, с названием Windows Firewall Settings, и связываете его с доменом corp.contoso.com, то настройки в этом GPO применяются ко всем, которые Вы видите OUs: Departments, Engineering, Accounting, Management, Marketing и Domain Controllers. Если вместо этого Вы связываете GPO с Departments OU, то настройки GPO применяются только к Departments, Accounting, Engineering, Management и Marketing OUs. Но не применяется ко всему домену или Domain Controllers OU. В случае если Вы, перемещаясь на один уровень вниз, связываете этот же GPO с Accounting OU, настройки GPO применяются только к Accounting OU, поскольку у него нет дочернего OUs. Щелкая по вкладке Group Policy Inheritance (цифра 1 на рисунке) в GPMC Вы можете увидеть, какой GPOS контейнер наследован.
И так, что происходит, если мульти GPOS содержит одинаковые настройки? Тогда основную роль играет - порядок очередности. В основном порядок, в котором Групповая политика применяет GPOS, определяется приоритетом. Порядок такой - сайт, домен, OU и дочерние OUs. В результате, у GPOS в дочерних OUs, более высокий приоритет, чем у GPOS, связанного с родительскими OUs. В свою очередь у него более высокий приоритет, чем у GPOS, связанного с доменом. А у этого более высокий приоритет, чем у GPOS, связанного с сайтом. Простой способ это понять такой - Групповая политика применяет GPOS сверху вниз, перезаписывая настройки по пути. Однако, в более усовершенствованных сценариях, Вы можете переопределить порядок очередности.
А также Вы можете иметь — внутри одного OU — содержащий те же установки мульти GPOS. Как и прежде, порядок, в котором Групповая политика использует GPOS, определяется порядком очередности. На рисунке Вы видите два GPOS, связанные с доменом corp.contoso.com: Windows Firewall Settings и Default Domain Policy. Групповая политика сначала применяет GPOS с более низким порядком связи, а потом уже GPOS с более высоким порядком связи. В этом случае сначала Windows Firewall Settings, а потом Default Domain Policy. Просто помните, что порядок связи 1 является привилегированным, а порядок связи 2 второй по важности задачей. Вы можете изменить порядок связи внутри контейнера, щелкая по стрелкам вверх и вниз, как показано цифрой 2 на рисунке.
Как Вы, вероятно, понимаете Групповая политика - удивительно универсальный инструмент. Однако, избегайте чрезмерно усложнять Групповые политики. В простых условиях, таких как лаборатория или предприятие малого бизнеса, нет ничего плохого связать все объекты GPOS в домене. Сделайте политику простой. Для сложности должно быть оправдание. На рисунке создан объект групповой политики, и он связан только с Engineering и Marketing OUs. Здесь это обосновано тем, что объект GPO содержит параметры, которые применяются только к этим двум департаментам и не должно применяться к любым другим департаментам.