局部GPO与DC应用GPO

Question

根据gpresult /r，有一个适用于可信站点的现有DC应用GPO。

GPO名称: GPO-NAM-IE-TRUSTEDSITES

我通过本地组策略编辑器(gpedit.msc)在Internet安全站点区域中添加了一个站点。运行gpupdate /force并重新启动该框。在IE可信站点区域列表中添加了站点。

这是否意味着本地GPO总是优先于DC应用GPO，或者在同一对象上进行配置？什么是经验法则？或

直流应用GPO是否可能配置不当？或

这是否与我的域用户id是我的Win7框中的Administrators组的成员有关？

请解释一下..。

Answer 1

这是预期的行为。当有来自多个策略的设置时，Internet站点到区域分配列表设置将合并。您可以使用gpresult /h来显示最终的策略集和获胜策略。

如果所有站点到区域分配都在单个注册表值中，则域策略将覆盖本地策略。如果在域和本地组策略中都指定了相同的站点，则域策略将覆盖本地策略。例如，如果在域策略中的Internet区域中定义了microsoft.com，在本地策略中定义了可信站点区域，则域策略设置将覆盖并且microsoft.com将位于Internet区域中。但是每个站点都是一个单独的注册表值，各个站点的设置被合并。

防止本地策略设置的唯一方法是启用组策略设置：

计算机>策略>管理模板>系统>组策略:关闭本地组策略对象处理。

Answer 2

正如Greg在他的回答中所指出的，Internet站点到区域分配列表设置在有来自多个策略的设置时合并。

但要回答你的一般性问题：Does this mean that local GPO always take precedence over DC applied GPO or in case configuration is done on same object? What is rule of thumb?

如果忽略策略执行和继承阻塞一分钟，则按以下优先顺序应用组策略：

LSDOU:

本地

站点

域名

组织股

这意味着本地组策略首先应用，优先级最低，这意味着当存在策略设置冲突(在多个策略中配置的策略设置)时，本地组策略将被站点链接策略、域链接策略和组织单元链接策略覆盖。