Локальный объект групповой политики против применяемого объекта групповой политики DC
Согласно gpresult / r , существует существующий GPO, примененный к DC. для надежных сайтов.
Имя GPO: GPO-NAM-IE-TRUSTEDSITES
Я добавил сайт в зону сайтов безопасности Internet Explorer через редактор локальной групповой политики (gpedit.msc). Запускаем gpupdate / force и перезагружаем бокс. Сайт добавлен в список доверенных сайтов IE.
Означает ли это, что локальный объект групповой политики всегда имеет приоритет над объектом групповой политики, применяемым к DC, или в случае, если настройка выполняется для одного и того же объекта? Что такое практическое правило? ИЛИ
Возможно ли, что GPO, примененный к DC, неправильно настроен? ИЛИ
Может ли это быть связано с тем, что мой идентификатор пользователя домена является членом группы администраторов на моем компьютере с Win7?
Пожалуйста, объясните ..
Это ожидаемое поведение. Параметры списка назначений сайта Internet Explorer для зоны объединяются, если есть параметры из нескольких политик. Вы можете использовать gpresult / h для отображения результирующего набора политик и выигрышных политик.
Если бы все назначения зон сайтам были в одном значении реестра, политика домена переопределила бы локальную политику. Если один и тот же сайт был указан как в политике домена, так и в локальной групповой политике, политика домена переопределила бы локальную политику. Например, если microsoft.com был определен в зоне Интернета в политике домена, а зона надежных сайтов в локальной политике, параметр политики домена будет иметь приоритет, и microsoft.com будет находиться в зоне Интернета. Но каждый сайт - это отдельный параметр реестра, и настройки для отдельных сайтов объединены.
Единственный способ предотвратить использование параметров локальной политики - это включить параметр групповой политики:
Компьютер> Политики> Административные шаблоны> Система> Групповая политика: отключить обработку объектов локальной групповой политики.
Как сказал Грег в своем ответе, настройки Internet Explorer Site To Zone Assignment List объединяются, если есть настройки из нескольких политик.
Но чтобы ответить на ваш общий вопрос: Это означают, что локальный объект групповой политики всегда имеет приоритет над объектом групповой политики, применяемым к DC, или в случае, если настройка выполняется для одного и того же объекта? Какое практическое правило?
Если мы игнорируем принудительное применение политик и блокировку наследования на минуту, групповые политики применяются в следующем порядке приоритета:
LSDOU:
Локальный
Сайт
Домен
Организационная единица
Это означает, что локальная групповая политика применяется первой и имеет самый низкий приоритет, что означает, что при возникновении конфликта параметров политики (параметр политики, настроенный более чем в одной политике), локальная групповая политика перестанет действовать. -зависимо политиками, связанными с сайтом, политиками, связанными с доменом, и политиками, связанными с организационными подразделениями.