微软资格认证考试综合辅导：组策略管理的难点之继承问题

笔者在域控制器的组策略管理中，遇到的最头疼的问题就是组策略权限的继承问题。我们都知道，为了便于权限的设置，组策略的配置具有继承的特性。也就是说，默认情况下，上级的配置会传递给下级，即使下面一级没有这方面的权限，等等。故，在对企业网络进行组策略管理之前，我们需要先明白组策略的这个继承特性，才能够在后续的管理中，事半功倍。否则的话，我们只会事倍功半。
　　假设名为现在有如下一个简单的网络架构。
　　在域OU设置中，有一个办公文员的OU，其在组策略设置中，当系统登陆的时候，默认的用户名是上次登陆的用户。也就是说，在系统登陆的窗口中，会显示出上次登陆的帐户名。现在这个OU下面，还有一个名字为销售人员的OU。在这种架构下，办公文员OU称为父OU，销售人员的OU称为子OU。
　　现在我们就来看看组策略是如何继承的。
　　一、销售人员OU继承办公文员OU的组策略
　　如果父OU的配置了某个组策略，但其子OU没有配置这个组策略，则父OU就会把这个子OU的组策略传递给子OU，从而实现组策略的继承功能。这里要注意一个问题，就是这里的“子OU没有配置这个组策略”，是指没有配置过类似的组策略，如果配置过，不管是允许还是禁止，则都不会再发生组策略的继承。
　　也就是说，如果办公文员这个OU中，网络管理员配置了一个组策略，在系统登陆的时候显示上次登陆的用户名。而若在其子OU销售人员OU中，没有对这个组策略进行任何的配置，(也许默认的情况下，利用域帐户登陆的话，是不显示上次登陆的用户名)。此时，域控制器就会认为销售人员OU中没有对这个策略进行过配置，就会继承办公文员这个OU的组策略，在下次登陆的时候，显示上一次登陆的域帐户名。
　　并且，这个组策略的继承还会一直延续下去。如在这个销售人员组中，下面还有销售一组、二组的OU时，这个办公文员组的组策略就会一直传递给销售一组、销售二组等等。但是，这里要注意一点，就是我们在查看子OU的组策略的时候，是不会显示父OU的组策略。也就是说，组策略继承给销售人员这个OU的时候，我们看其组策略的设置，其这个“显示上次登陆帐户名”这个组策略，仍然没有被配置。但是，其确确实实继承了这个组策略。所以，这就给我们组策略维护的时候，有一定的迷惑度。
　　二、销售人员OU抵制办公文员OU的组策略
　　上面我们都次强调，在组策略继承中，必须子OU对应的组策略没有经过默认配置的情况下，虽然其可能具有默认值，才能够发生组策略的继承事件。但是，若子OU对对应的组策略进行了设置，即使只是显示的反应其默认值，这这个继承就会被打断。
　　利用官方的话说，就是如果子容器内的某个策略被配置，则此配置值就会覆盖由其父容器所传递下来的配置值。这句话有两个意思。
　　一是当父OU配置了某个组策略，而子OU也配置了这个组策略，则无论这两个组策略是否一致，则子OU都不会继承父OU的这个组策略。也就是说，若子OU的组策略配置即使跟父OU的组策略配置是一样的，其也是直接使用自己的组策略，而不会去关心父OU的组策略倒是是如何配置的。若他们的组策略配置相互矛盾，则子OU更加不会理睬父OU的组策略。儿子大了，做老爸的也管不住了。
　　二是若父OU配置了某个组策略，而当时子OU还没有对这个组策略配置过，则子OU会继承这个父OU。但是，后来网络管理员发现子OU不能采用这个组策略，就在子OU的组策略中重新设置了。此时，这个重新设置的值就会覆盖父OU组策略传递下来的值。
　　下面笔者就举一个例子来加深大家对这个原则的理解。
　　假设，在父OU办公文员这个组上，我们网络管理员出于安全方面的考虑，设置了一个“禁止在桌面上显示网络邻居”的组策略。此时，若子OU销售管理员组一开始就设置了这个组策略，不管其是禁止还是允许，则子OU都不会考虑继承父OU的这个组策略。也就是说，当儿子的有了自己的注意之后，就不会听老子的话了。若子OU刚开始没有配置这个组组策略，则当销售管理员这个OU加入到办公文员这个OU中后，则其就会继承父OU的这个组策略。但是，后来网络管理员出于某些考虑，在子OU这个组策略上，设置为“允许在桌面上显示网络邻居”，此时这个配置值就会覆盖掉原有的父OU继承下来的配置值。
　　以上两个原则就是组策略继承中的两个基本定律。在实际工作中，除了以上的这些规则外，还需要知道一些不成文的规定，或者叫做优先性问题。