Блокиране на наследяване на групови правила

правила
Може би сте научили много за технологията на груповите правила от моите статии. Например в статията „Управление на груповите политики в организацията. Част 2 "беше подробно описана във връзката на личните обекти и в статията„ Управление на груповите политики в организацията. Част 3 ”беше за приоритетите на GPO и как да делегирате разрешения за GPO. Съответно помните, че приоритетът на GPO определя коя настройка на политиката се прилага към клиента, а именно, че ако създадете GPO и ги свържете към сайт, домейн и OU, тогава тези GPO ще бъдат наследени от OU, по-големи от ниско -ниво ниво на GPO, където GPO с по-висок приоритет ще има привилегии пред GPO с по-нисък приоритет. С други думи, когато клиентският компютър стартира, клиентът на груповите правила анализира местоположението на компютъра или потребителския обект в Active Directory и прилага политики в следния ред: GPO, свързани със сайта, след това с домейна, след това с родителския OU на първото ниво, а след това с OU, където се намира потребителят или компютърният обект. Извиква се кумулативният резултат от това приложение на GPO наследяване на политика. Но нито една статия не е говорила за толкова важно свойство като блокиране на наследството, които всъщност ще бъдат обсъдени в тази кратка статия.

С наследяването на групови правила имате възможност да планирате внимателно прилагането на групови правила към повечето части на всяка организация. Понякога обаче има ситуации, при които за конкретна единица искате да заключите всички настройки на груповите правила от GPO, свързани с родители в йерархията на GPO. С други думи, ако блокирате наследяването за конкретен OU, тогава прилагането на GPO ще започне само с GPO, които са пряко свързани с текущия OU, и всички GPO, свързани с по-високи нива на йерархията, както и политики, свързани с домейн или сайтът няма да се прилага.

Използване на блокиращо наследство

За прилагането на блокиране на наследство можете да разгледате прост пример с фиктивна организация. Има Биофармацевтична организация, в която работят 2000 потребители в 50 подразделения. Тази организация има отдел за развитие със спомагателен отдел за тестване. Всички OU имат по един GPO, който е свързан със сайта и домейна. Има още три GPO, приложени към отдела за разработчици, като GPO на Enforceable Security е избран да бъде принуден. Но за да работят тестерите, които се намират в отдел „Тестване“, е необходимо нито един от GPO да не е приложен към тях, с изключение на тези, назначени директно в техния отдел. Съответно в този случай трябва да се използва блокиране на наследство. Но тук си струва да се обърне внимание на факта, че дори ако блокирането на наследяването е активирано, GPO, за който е зададена принудителната връзка, ще бъде приложено към този OU, тъй като този обект получава най-висок приоритет. За да настроите блокиране на наследяване, изпълнете следните стъпки: