Precedência forçada do GPO

Navegue suas respostas
5

Qual é a precedência para os GPOs com Enforeced, não consigo encontrar artigos da MS que forneçam uma resposta refinada.

Meu entendimento atual é o seguinte:

Digamos que temos 5 GPOs - GPO1 até GP05. Usarei uma questão de exame para contextualizar. 

GPO    Linked to   Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 -    Site 1   - Yes
GP04 -     OU1     - No
GP05 -     OU1     - Yes

Agora, meu entendimento significaria que eles se aplicariam nessa ordem, desde o primeiro até o último a ser aplicado (assim, aquele com maior precedência). 

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Estou correto no meu entendimento? Muito Obrigado!

    
por PnP 24.05.2013 / 17:06

2 respostas

11

Eu escrevi sobre isso aqui: link

TL; DR - O GPO principal ou principal que também é imposto vencerá.

Da Microsoft:

You can specify that the settings in a GPO link should take precedence over the settings of any child object by setting that link to Enforced. GPO-links that are enforced cannot be blocked from the parent container. Without enforcement from above, the settings of the GPO links at the higher level (parent) are overwritten by settings in GPOs linked to child organizational units, if the GPOs contain conflicting settings. With enforcement, the parent GPO link always has precedence. By default, GPO links are not enforced.

EDITAR:

Veja também aqui: O GPO fornece valor inesperado

Lá, ele afirma especificamente:

The Enforce setting is a property of the link between an Active Directory container and a GPO. It is used to force that GPO to all Active Directory objects within a container, no matter how deeply they are nested. The settings within a GPO that is enforced override other settings that would prevail because they are applied later. If there are conflicting settings in GPOs that are enforced at two levels of the hierarchy, the setting enforced furthest from the client prevails. This is a reversal of the usual rule, in which the setting from the nearest-linked GPO would prevail.

    
por 24.05.2013 / 17:14
3

Ryan (e eu: P) respondeu à pergunta sobre como dois ou mais GPOs são tratados, mas eu queria esclarecer que, embora o GPO3 vinculado ao site "ganhe", a sequência de OPs de como eles são aplicados não é t correto.

O OP declara:

Now my understanding would mean they would apply in this order, from the first to apply to the last to apply (thus the one with most precedence).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Lembrando que:

No que se refere à sequência (incluindo a imposição, mas especificamente a ordem de sequência em que os GPOs são analisados durante o processamento):

GPO3 (com qualquer uma das suas configurações aplicadas e tomando precedência daqui em diante)

- >

GPO1 ou GPO2 (dependendo da ordem dos links no nível de domínio desses 2, com o GPO2 sendo imposto, exceto quando as configurações do GPO3 anulam porque o GPO3 é imposto no nível do site)

- >

GPO4 ou GPO5 (dependendo da ordem do link no nível da UO desses 2, com o GPO5 sendo imposto, exceto onde as configurações de GPO2 ou GPO3 anulam)

    
por 24.05.2013 / 17:36

Tags

Backup de um diretório remoto com duplicidade O LDAP é a única maneira de autenticar um aplicativo da Web no Active Directory?