【Horizon】Windows 组策略的生效规则
这篇文章整理 Windows 组策略在实际环境中的几条核心生效规则。理解这些规则之后,很多“为什么策略没生效”或者“为什么和我想的不一样”的问题,排查会容易很多。
一般继承规则
在默认情况下,组策略会沿着站点、域、组织单位这一层级继续往下继承。
常见规则可以概括为下面几条:
- 如果父 OU 设置了某项策略,而子 OU 没有设置,那么子 OU 会继承父 OU 的值。
- 如果子 OU 明确设置了同一项策略,通常会覆盖从父 OU 继承下来的值。
- 组策略整体具有累加性,但发生冲突时,OU 通常优先于域,域优先于站点。
- 如果计算机配置和用户配置之间存在冲突,一般以计算机配置优先。
- 多个 GPO 同时链接到同一位置时,最终结果会叠加;若存在冲突,则按链接顺序决定优先级。
- 本机 GPO 的优先级通常最低。
例外情况
默认继承规则并不是绝对的,下面几种配置会直接改变结果。
禁止继承
如果在下层 OU 启用了“禁止继承”,那么它就不会继续接收父 OU 的普通 GPO 设置。
强制继承
如果父级 GPO 被设置为“强制”,那么即使下层 OU 启用了“禁止继承”,这部分策略仍然会继续生效。
这也是为什么有时候明明在子 OU 做了限制,策略却还是下来了。
GPO 安全筛选
默认情况下,很多 GPO 都会对 Authenticated Users 生效,也就是该 OU 下已经通过身份验证的用户和计算机通常都具备读取和应用组策略的权限。
如果不希望某个策略作用到某位用户,可以在:
组选策略 -> 委派 -> 高级
里单独添加用户或组,并拒绝“应用组策略”权限。
特殊处理机制
除了继承和筛选,Windows 组策略还有几种容易影响结果的特殊机制。
强制刷新 GPO
如果怀疑策略没有及时更新,可以手动执行:
gpupdate /force另外,也可以通过策略配置,要求即使组策略对象未发生变化,也重新处理相关策略。
慢速链接处理
系统默认会把 500 kb/s 视为慢速链接。在慢速链接环境下,并不是所有策略都会继续套用,有些策略需要单独允许。
环回处理模式
环回处理模式主要用在“这台电脑比这个用户更重要”的场景,比如:
- 公共终端
- 教室电脑
- 实验室环境
- 特殊用途桌面
启用后,可以让登录到这台机器上的用户,优先吃到这台计算机所在 OU 的用户策略。
它常见有两种模式:
替换:直接用计算机侧的用户策略替换用户原本策略合并:把两边策略合并,冲突时计算机侧优先
停用 GPO
如果某个 GPO 暂时不想生效,可以在 GPO 属性里禁用:
- 计算机配置
- 用户配置
这样能更细粒度地控制策略作用范围。
总结
组策略排查时,不要只盯“这个策略有没有配”,而要同时看这几层:
- 它从哪里继承下来
- 有没有被下层覆盖
- 有没有被禁止继承或强制继承影响
- 安全筛选是否命中了目标对象
- 是否受到环回处理或慢速链接机制影响
把这几个点理清,绝大多数 GPO 生效异常的问题都能定位到原因。