避免组策略逻辑错误

　　首先，要了解可以实施组策略的容器，它们分别是：

　　域（Domain）；组织单元（OU）；站点（Site）。

　　在不同的容器上设置组策略，组策略的应用范围也不相同。当应用范围发生重叠时，就容易产生组策略的逻辑错误。如何避免这样的逻辑错误呢？笔者有一些经验和大家共享。

　　其次，要了解Windows Server 2003中活动目录（Active Directory）是如何解决组策略冲突的。在AD（Active Directory）中解决组策略冲突主要遵循以下规则：

　　1、组策略的执行顺序是：首先执行的是本地策略，然后依次是站点策略、域（Domain）策略、OU策略、子OU策略（如图1）。

图1 策略顺序

图2 设置阻止继承

　　当组策略产生冲突时，OU的组策略设置覆盖Domain的组策略设置；Domain的组策略设置覆盖Site的组策略设置；Site的组策略设置覆盖Local策略设置。

　　2、在同一容器上多个组策略产生冲突时，排列在组策略列表中最上方的组策略的设置生效。

　　第三，组策略的继承性。在默认情况下子容器总是继承父容器的组策略设置。可以通过以下两种设置方式更改组策略的继承性。

　　1、阻止继承。子容器可以设置阻止继承，以便让子容器自身的组策略设置生效（如图2）。

　　2、禁止覆盖。当您想使某个组策略的设置不被后执行的组策略的设置所覆盖，可以使用组策略的禁止覆盖功能。如图3，当Sales_GPO1的设置与后执行的组策略设置产生冲突时，由于Sales_GPO1策略已被设置成禁止覆盖了，所以Sales_GPO1的设置生效。

图3 禁止覆盖

图4 组策略环回处理

　　第四，组策略的环回处理技术。在组策略中有“计算机配置”和“用户配置”两个节点，计算机的启动时应用的是“计算机配置”，用户在登录时应用的是“用户配置”，当一台计算机由多个用户使用时，为保证不论哪一个用户登录此计算机配置一致，可以使用组策略的环回处理技术（如图4）。

　　有两种模式：

　　1、合并：将“计算机配置”和“用户配置”合并后作用。

　　2、替换：用“计算机配置”替换“用户配置”。

　　最后，在使用组策略防止冲突的小技巧，就是利用OU的单一管理性。在创建OU时为企业内的每个部门创建两个OU，一个用来存储该部门的计算机账户，另一个用来存储该部门的用户账户。这样可以减少组策略设置的冲突。

【责编:Yoyo】