Precedência imposta pelo GPO

11

Qual é a precedência dos GPOs obrigatórios, não consigo encontrar realmente nenhum artigo da MS que dê uma resposta refinada.

Meu entendimento atual é o seguinte:

Digamos que temos 5 GPOs - GPO1 a GP05. Vou usar uma pergunta do exame para contextualizar.

GPO    Linked to   Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 -    Site 1   - Yes
GP04 -     OU1     - No
GP05 -     OU1     - Yes

Agora, meu entendimento significaria que eles se aplicariam nessa ordem, do primeiro ao último até o último (portanto, o de maior precedência).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Estou correto no meu entendimento? Muito Obrigado!

active-directory group-policy PnP
fonte
seu "aplicar nesta ordem" está correto em termos do que é aplicado, mas não necessariamente em QUANDO esse gpo é sequenciado. Veja minha resposta para esclarecimentos sobre essa parte.
TheCleaner

Respostas:

17

Eu escrevi sobre isso aqui: http://myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx

TL; DR - O GPO superior ou principal que também é imposto vencerá.

Da Microsoft:

Você pode especificar que as configurações em um link de GPO devem ter precedência sobre as configurações de qualquer objeto filho, definindo esse link como Imposto. Os links de GPO impostos não podem ser bloqueados no contêiner pai. Sem a aplicação acima, as configurações dos links de GPO no nível superior (pai) são substituídas por configurações nos GPOs vinculados às unidades organizacionais filho, se os GPOs contiverem configurações conflitantes. Com a imposição, o link do GPO pai sempre tem precedência. Por padrão, os links de GPO não são impostos.

EDITAR:

Veja aqui também: o GPO fornece um valor inesperado

Lá afirma especificamente:

A configuração Aplicar é uma propriedade do link entre um contêiner do Active Directory e um GPO. É usado para forçar esse GPO a todos os objetos do Active Directory em um contêiner, independentemente da profundidade em que estão aninhados. As configurações em um GPO imposto substituem outras configurações que prevaleceriam porque são aplicadas posteriormente. Se houver configurações conflitantes nos GPOs aplicadas em dois níveis da hierarquia, a configuração aplicada mais longe do cliente prevalecerá. Essa é uma reversão da regra usual , na qual prevaleceria a configuração do GPO vinculado mais próximo.

Ryan Ries
fonte
1
Portanto, está correto, no exemplo acima, o GPO vinculado ao Site realmente vencerá. Obrigado.
PnP
TheD - Só para esclarecer, isso é relevante para configurações comuns a ambos os GPOs. Se você tiver configurações no GPO vinculado à OU que não estejam definidas no GPO vinculado ao site, essas configurações serão aplicadas pelo GPO vinculado à OU. Somente quando há configurações comuns nos dois GPOs a hierarquia de imposição entra em jogo.
Joeqwerty
4

Ryan (e eu: P) responderam à pergunta sobre como dois ou mais GPOs aplicados são tratados, mas eu queria esclarecer que, embora o GPO3 vinculado ao site "vença", a sequência de OPs de como eles são aplicados não está correta.

O PO declara:

Agora, meu entendimento significaria que eles se aplicariam nessa ordem, do primeiro ao último até o último (portanto, o de maior precedência).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Lembrando que:

insira a descrição da imagem aqui

No que diz respeito à sequência (incluindo a imposição, mas especificamente a ordem da sequência em que os GPOs são analisados ​​durante o processamento):

GPO3 (com qualquer uma de suas configurações aplicadas e tendo precedência a partir de agora)

->

GPO1 ou GPO2 (dependendo da ordem do link no nível do domínio desses 2, com o GPO2 sendo imposto, exceto onde as configurações do GPO3 substituem porque o GPO3 é imposto no nível do site)

->

GPO4 ou GPO5 (dependendo da ordem do link no nível da OU desses 2, com o GPO5 sendo imposto, exceto onde as configurações de GPO2 ou GPO3 substituem)

O limpador
fonte
Desculpe, mas qual é a ordem de processamento então, como: GPOx -> GPOx, desculpas, mas sua explicação me confundiu um pouco!
PnP
Digamos que a ordem dos links não tenha sido alterada; portanto, simplesmente os GPOs estão vinculados à UO e ao Site .etc., Em que ordem eles são processados ​​em relação ao primeiro GPO ao último GPO.
PnP
A própria pergunta diz que ordene-os na ordem em que serão aplicados ao PC cliente. Obrigado!
PnP
Não consigo responder com base no que um questionário QUER que seja a resposta ... mas SEMPRE existe uma ordem de link quando 2 ou mais GPOs são aplicados em um nível, mesmo se você não o definir manualmente. Você pode ver isso no GPMC, observando a guia "GPOs vinculados" em qualquer nível em que esteja. Os GPOs são sempre processados ​​na ORDEM que está na foto que eu publiquei. Isso não significa que eles terão precedência ou se aplicam, apenas que é a ordem em que são examinados ao decidir. Alterei o "código" que publiquei para ajudar a esclarecer para você.
TheCleaner
Minha pergunta é: você mostra que o GP03 é realmente processado primeiro, mas achei que aqueles com precedência mais alta e processados ​​por último têm a palavra final sobre a política.
PnP