GPO local vs DC aplicou o GPO

Question

GPO local vs DC aplicou o GPO

#1 resposta do (2 votos)
#2 resposta do (1 votos)

2

Como por gpresult /r , existe um GPO aplicado por DC para sites confiáveis.

Nome do GPO: GPO-NAM-IE-TRUSTEDSITES

Adicionei um site na zona de sites de Segurança do Internet Explorer por meio do editor de diretiva de grupo local (gpedit.msc). Execute gpupdate /force e reinicie a caixa. O site foi adicionado à lista de zonas de sites confiáveis do IE.

Isso significa que o GPO local sempre tem precedência sobre o GPO aplicado ao DC ou caso a configuração seja feita no mesmo objeto? O que é regra de ouro? OU

É possível que o DC aplicado ao GPO esteja configurado incorretamente? OU

Poderia ser algo para fazer com meu id de usuário de domínio é membro do grupo Administradores na minha caixa Win7?

Por favor, explique ..

windows active-directory group-policy

por G-1 10.12.2016 / 20:33

2 respostas

Tags windows active-directory group-policy

Servidor de Armazenamento - 100 TB + [fechado] Configuração e autenticação automáticas da conta de email no Outlook no Office 365

score 2 · Answer 1

Esse é o comportamento esperado. As configurações da Lista de atribuições do site Internet Explorer para zona são mescladas quando há configurações de várias diretivas. Você pode usar gpresult / h para exibir o conjunto resultante de diretivas e políticas vencedoras.

Se todas as atribuições de site a zona estivessem em um único valor de registro, a diretiva de domínio substituiria a diretiva local. Se o mesmo site fosse especificado na política de domínio e de grupo local, a política de domínio substituiria a política local. Por exemplo, se microsoft.com foram definidos na zona da Internet na diretiva de domínio e na zona de sites confiáveis na diretiva local, a configuração de diretiva de domínio seria substituída e microsoft.com estaria na zona da Internet. Mas cada site é um valor de registro separado e as configurações dos sites individuais são mescladas.

A única maneira de impedir as configurações de política local seria ativar a configuração de política de grupo:

Computador > Políticas > Modelos Administrativos > Sistema > Diretiva de grupo: desative o processamento de objetos de diretiva de grupo local.

score 1 · Answer 2

Como Greg declarou em sua resposta, as configurações da Lista de atribuições do site para a zona do Internet Explorer são mescladas quando há configurações de várias políticas.

Mas para responder à sua pergunta geral: Does this mean that local GPO always take precedence over DC applied GPO or in case configuration is done on same object? What is rule of thumb?

Se ignorarmos a imposição de políticas e o bloqueio de herança por um minuto, as políticas de grupo serão aplicadas na seguinte ordem de precedência:

LSDOU:

Local

Site

Domínio

Unidade Organizacional

Isso significa que a Diretiva de Grupo local é aplicada primeiro e tem a menor precedência, o que significa que, quando há um conflito de configurações de diretiva (uma configuração de diretiva configurada em mais de uma diretiva), a Diretiva de Grupo local será substituída pelo Site. políticas vinculadas, políticas vinculadas ao domínio e políticas vinculadas à unidade organizacional.