Precedencia forzada de GPO

11

¿Cuál es la precedencia para los GPO Enforeced? Realmente no puedo encontrar ningún artículo de MS que dé una respuesta refinada.

Mi comprensión actual es la siguiente:

Digamos que tenemos 5 GPO's - GPO1 hasta GP05. Usaré una pregunta de examen para poner en contexto.

GPO    Linked to   Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 -    Site 1   - Yes
GP04 -     OU1     - No
GP05 -     OU1     - Yes

Ahora, según tengo entendido, se aplicarían en este orden, desde el primero en aplicar hasta el último en aplicar (por lo tanto, el que tiene más prioridad).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

¿Estoy correcto en mi entendimiento? ¡Muchas gracias!

active-directory group-policy PnP
fuente
su "aplicar en este orden" es correcto en términos de QUÉ se aplica, pero no necesariamente CUANDO se secuencia ese gpo. Vea mi respuesta para aclaraciones sobre esa parte.
TheCleaner

Respuestas:

17

Escribí sobre esto aquí: http://myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx

TL; DR: el GPO superior o principal que también se aplica, ganará.

De Microsoft:

Puede especificar que la configuración en un enlace de GPO debe tener prioridad sobre la configuración de cualquier objeto secundario configurando ese enlace en Forzado. Los enlaces GPO que se aplican no se pueden bloquear desde el contenedor principal. Sin la aplicación anterior, la configuración de los enlaces de GPO en el nivel superior (principal) se sobrescribe por la configuración de los GPO vinculados a las unidades organizativas secundarias, si los GPO contienen configuraciones en conflicto. Con la aplicación, el enlace GPO primario siempre tiene prioridad. De forma predeterminada, los enlaces de GPO no se aplican.

EDITAR:

Vea aquí también: GPO proporciona un valor inesperado

Allí establece específicamente:

La configuración Enforce es una propiedad del enlace entre un contenedor de Active Directory y un GPO. Se utiliza para forzar ese GPO a todos los objetos de Active Directory dentro de un contenedor, sin importar cuán profundamente estén anidados. La configuración dentro de un GPO que se aplica anula otras configuraciones que prevalecerían porque se aplican más adelante. Si hay configuraciones conflictivas en los GPO que se aplican en dos niveles de la jerarquía, prevalece la configuración que se aplica más lejos del cliente. Esta es una inversión de la regla habitual , en la que prevalecería la configuración del GPO vinculado más cercano.

Ryan Ries
fuente
1
Entonces, es correcto, en el caso anterior, el GPO vinculado al Sitio ganará. Gracias.
PnP
TheD: para ser claros, esto es relevante para configuraciones que son comunes a ambos GPO. Si tiene configuraciones en el GPO vinculado a OU que no están establecidas en el GPO vinculado al sitio, entonces esa configuración será aplicada por el GPO vinculado a OU. Solo cuando hay configuraciones comunes en ambos GPO entra en juego la jerarquía de cumplimiento.
joeqwerty
4

Ryan (y yo: P) respondimos la pregunta sobre cómo se manejan 2 o más GPO forzados, pero quería aclarar que si bien los GPO3 vinculados al sitio "ganarán", la secuencia de OP de cómo se aplican no es correcta.

El OP dice:

Ahora, según tengo entendido, se aplicarían en este orden, desde el primero en aplicar hasta el último en aplicar (por lo tanto, el que tiene más prioridad).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Recordando eso:

ingrese la descripción de la imagen aquí

En lo que respecta a la secuencia en sí misma (incluida la aplicación, pero específicamente el orden de secuencia que se observan los GPO al procesar):

GPO3 (con cualquiera de sus configuraciones impuestas y teniendo prioridad de aquí en adelante)

->

GPO1 o GPO2 (según el orden de enlace en el nivel de dominio de estos 2, con GPO2 que se aplica excepto cuando la configuración de GPO3 se anula porque GPO3 se aplica a nivel de sitio)

->

GPO4 o GPO5 (según el orden de enlace en el nivel de unidad organizativa de estos 2, con GPO5 que se aplica excepto si la configuración de GPO2 o GPO3 prevalece)

El limpiador
fuente
Lo sentimos, pero ¿cuál es el orden de procesamiento entonces, como: GPOx -> GPOx, disculpas, pero su explicación me confundió un poco!
PnP
Digamos que el orden de los enlaces no ha cambiado, así que simplemente los GPO están vinculados a la OU y al sitio .etc., En qué orden se procesan con respecto al primer GPO al último GPO.
PnP
La pregunta en sí dice ordenarlos en el orden en que se aplicarán a la PC cliente. ¡Gracias!
PnP
No puedo responder en función de qué cuestionario QUIERE que sea la respuesta ... pero SIEMPRE hay un orden de enlace cuando se aplican 2 o más GPO a un nivel, incluso si no configura uno manualmente. Puede ver esto en el GPMC mirando la pestaña "GPO vinculados" para cualquier nivel en el que se encuentre. Los GPO siempre se procesan en el ORDEN que está en la foto que publiqué. Eso no significa que tendrán prioridad o aplicarán, solo que es el orden en el que se los mira al decidir. He cambiado el "código" que publiqué para ayudarlo a aclararlo.
TheCleaner
Mi consulta es que muestra que GP03 se procesa primero, pero pensé que aquellos con mayor prioridad y procesados ​​en último lugar tienen la última palabra en la Política.
PnP