Priorité imposée par le GPO

11

Quelle est la priorité pour les GPO Enforeced, je ne trouve pas vraiment d'articles MS qui donnent une réponse raffinée.

Ma compréhension actuelle est la suivante:

Disons que nous avons 5 GPO - GPO1 à GP05. Je vais utiliser une question d'examen pour mettre en contexte.

GPO    Linked to   Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 -    Site 1   - Yes
GP04 -     OU1     - No
GP05 -     OU1     - Yes

Maintenant, ma compréhension signifierait qu'ils s'appliqueraient dans cet ordre, du premier au dernier jusqu'au dernier (donc celui qui a le plus de priorité).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Ai-je raison de comprendre? Merci beaucoup!

active-directory group-policy PnP
la source
votre "demande dans cet ordre" est correct en termes de ce qui est appliqué, mais pas nécessairement quand QUAND gpo est séquencé. Voir ma réponse pour des éclaircissements sur cette partie.
TheCleaner

Réponses:

17

J'ai écrit à ce sujet ici: http://myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx

TL; DR - Le GPO supérieur ou parent qui est également appliqué gagnera.

De Microsoft:

Vous pouvez spécifier que les paramètres d'un lien GPO doivent avoir la priorité sur les paramètres de tout objet enfant en définissant ce lien sur Enforced. Les liens GPO qui sont appliqués ne peuvent pas être bloqués du conteneur parent. Sans application par le haut, les paramètres des liens GPO au niveau supérieur (parent) sont remplacés par les paramètres des GPO liés aux unités organisationnelles enfants, si les GPO contiennent des paramètres conflictuels. Avec l'application, le lien GPO parent a toujours la priorité. Par défaut, les liens GPO ne sont pas appliqués.

ÉDITER:

Voir ici aussi: GPO fournit une valeur inattendue

Là, il déclare spécifiquement:

Le paramètre Enforce est une propriété du lien entre un conteneur Active Directory et un objet de stratégie de groupe. Il est utilisé pour forcer cet objet de stratégie de groupe sur tous les objets Active Directory d'un conteneur, quelle que soit leur profondeur d'imbrication. Les paramètres d'un objet de stratégie de groupe qui sont appliqués remplacent les autres paramètres qui prévaudraient car ils sont appliqués ultérieurement. S'il existe des paramètres conflictuels dans les objets de stratégie de groupe qui sont appliqués à deux niveaux de la hiérarchie, le paramètre appliqué le plus loin du client prévaut. Il s'agit d'une inversion de la règle habituelle , dans laquelle le paramètre du GPO lié le plus proche prévaudrait.

Ryan Ries
la source
1
Il est donc correct, dans l'instance ci-dessus, que le GPO lié au Site gagne en effet. Merci.
PnP
TheD - Juste pour être clair, ceci est pertinent pour les paramètres communs aux deux GPO. Si vous avez des paramètres dans le GPO lié à l'unité d'organisation qui ne sont pas définis dans le GPO lié au site, ces paramètres seront appliqués par le GPO lié à l'unité d'organisation. Ce n'est que lorsqu'il existe des paramètres communs dans les deux GPO que la hiérarchie d'application entre en jeu.
joeqwerty
4

Ryan (et I: P) a répondu à la question sur la façon dont 2 ou plusieurs objets de stratégie de groupe appliqués sont gérés, mais je tenais à préciser que, bien que le GPO3 lié au site "gagnera", la séquence des OP de la façon dont ils sont appliqués n'est pas correcte.

Le PO déclare:

Maintenant, ma compréhension signifierait qu'ils s'appliqueraient dans cet ordre, du premier au dernier jusqu'au dernier (donc celui qui a le plus de priorité).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Rappelant que:

entrez la description de l'image ici

En ce qui concerne la séquence elle-même (y compris l'application, mais en particulier l'ordre de séquence que les GPO sont examinés lors du traitement):

GPO3 (avec l'un de ses paramètres appliqués et ayant priorité à partir de maintenant )

->

GPO1 ou GPO2 (en fonction de l'ordre des liens au niveau du domaine de ces 2, GPO2 étant appliqué sauf lorsque les paramètres GPO3 sont prioritaires car GPO3 est appliqué au niveau du site)

->

GPO4 ou GPO5 (en fonction de l'ordre des liens au niveau de l'unité d'organisation de ces 2, GPO5 étant appliqué sauf lorsque les paramètres GPO2 ou GPO3 prévalent)

Le nettoyeur
la source
Désolé, mais quel est l'ordre de traitement alors, comme: GPOx -> GPOx, excuses mais votre explication m'a un peu dérouté!
PnP
Disons que l'ordre des liens n'a pas été modifié, donc simplement les GPO sont liés à l'unité d'organisation et au site .etc., Dans quel ordre sont-ils traités en ce qui concerne le premier GPO au dernier GPO.
PnP
La question elle-même dit de les commander dans l'ordre où ils seront appliqués au PC client. Merci!
PnP
Je ne peux pas répondre en fonction de ce qui veut que la réponse soit ... mais il y a TOUJOURS un ordre de lien lorsque 2 ou plusieurs GPO sont appliqués à un niveau même si vous n'en définissez pas un manuellement. Vous pouvez le voir dans la GPMC en regardant l'onglet "GPO liés" pour n'importe quel niveau où vous êtes. Les objets de stratégie de groupe sont toujours traités dans la COMMANDE qui se trouve sur la photo que j'ai publiée. Cela ne signifie pas qu'ils auront la priorité ou s'appliqueront, mais seulement que c'est l'ordre dans lequel ils seront examinés au moment de décider. J'ai changé le "code" que j'ai publié pour aider à clarifier pour vous.
TheCleaner
Ma question est, vous montrez que GP03 est réellement traité en premier, mais je pensais que ceux avec la priorité la plus élevée et traités en dernier ont donc le dernier mot sur la politique.
PnP