組策略在應用的時候,系統應用順序應該是:本機策略-站點策略-域策略-ou策略(dc策略),後執行的策略在衝突的狀況下,覆蓋前面的策略。也就是說,優先級是ou策略最高。由於dc默認在「domain cortroler」ou裏面,因此也是後執行的。
參考:mcse2000英文教材2152a modula9 第四頁:
「Important: Group Policy settings are applied in the following order:local settings are applied first,followed by site,domain,and then OU settings.」
或者中文教材2152a 第311頁
組策略處理和優先級應用於用戶(或計算機)的組策略對象 (GPO) 並非全都具備相同的優先級。後面應用的設置能夠覆蓋先前應用的設置。app
處理設置的順序
本節提供有關處理用戶和計算機組策略設置的順序的詳細信息。有關策略設置處理如何適合計算機啓動和用戶登陸框架的信息,請參閱本主題中啓動和登陸中的第 3 步和第 8 步。框架
組策略設置按下列順序處理:dom
本地組策略對象 - 每臺計算機都只有一個在本地存儲的組策略對象。它可用於計算機和用戶的組策略處理。
站點 - 而後處理已連接到計算機所屬站點的任何 GPO。處理順序是由管理員在組策略管理控制檯 (GPMC) 中站點的「連接的組策略對象」選項卡上指定的。具備最低「連接順序」的 GPO 是被最後處理的,所以具備最高的優先級。
域 - 多個連接到域上的 GPO 的處理順序是由管理員在 GPMC 中該域的「連接的組策略對象」選項卡上指定的。具備最低「連接順序」的 GPO 是被最後處理的,所以具備最高的優先級。
部門 - 最早處理連接到 Active Directory 層次結構中最高層部門的 GPO,而後處理連接到其子部門的 GPO,依此類推。最後處理的是連接到包含該用戶或計算機的部門的 GPO。
在 Active Directory 層次結構的每一個部門級別中,能夠連接一個、多個或不連接 GPO。若是幾個 GPO 連接到一個部門上,則它們的處理順序是由管理員在 GPMC 中該部門的「連接的組策略對象」選項卡上指定的。具備最低「連接順序」的 GPO 是被最後處理的,所以具備最高的優先級。ide
此順序意味着,先處理本地 GPO,最後處理連接到計算機或用戶直接所屬的部門的 GPO;若是最後的 GPO 設置與先前的 GPO 設置有衝突,則它覆蓋先前 GPO 中的設置。(若是沒有衝突,則合併先前和後面的設置便可。)orm