یکی از راه های کنترل کاربران و کامپیوتر ها در ساختار Active Directory استفاده از Group Policy می باشد. برای پیاده سازی Group Policy آنها را به
Site
Domain
OU
می توان اضافه کرد. هر کامپیوتر نیز از یک Local Group Policy بهره می برد. در صورتی که شما به صورت همزمان چندین Group Policy را به Active Directory خود اعمال کنید. ترتیب اعمال شدن آنها به صورت زیر می باشد.
Local
Site
Domain
OU
Sub-OU
Sub-Sub-OU
هر Group Policyاز دو بخش تشکیل شده است.
Computer Configuration
User Configuration
تنظیم هایی که در Computer Configuration انجام می شود به کامپیوتر ها اعمال می شود.
تنظیم هایی که در User Configuration انجام می شود به کاربران اعمال می شوند.
زمانی که چندین GPO به کامپیوتر یا کاربری در AD اعمال می شود. آن Policy ها ادغام شده و کاربر در نهایت مجموعه ای از تمام policy های اعمال شده را می بیند. در صورتی که هر کدام از این policy ها با یکدیگر conflict داشته باشند. مثلا Screen Saver بر روی Policy ی Disable شده است در حالی که در یک GPO دیگر شده است. در این حالت این دو پالیسی با یکدیگر conflict دارند. در نهایت آن policy به کاربر یا کامپیوتر اعمال می شود که اولویت دارد. مثلا اگر یک policy به domain و دیگر policy به OU اعمال شده باشد، policy اعمال شده به OU برای کاربر محاسبه می شود.
زمانی که بر روی GPO راست کلیک می کنید گزینه ای به نام Enforced وجود دارد. در صورتی که این گزینه را تیک بزنید این policyنسبت به دیگر policy ها اولویت پیدا می کند.
در یک مثال می خواهم این تنظیم ها را توضیح دهم. فرض کنید که ما policy هایی را به شکل زیر اعمال کرده ایم:
GPO1 > Domain
GPO2 > OU1
GPO3 > OU2
GPO4 > Computers
GPO5 > Users
ترتیب قرار گیری ساختار به شکل زیر می باشد:
زمانی که یک کامپیوتر در حالت Start-up قرار دارد تمام policy های تعریف شده در قسمت Computer Configuration، GPO های زیر را دریافت می کند.
GPO1 > GPO2> GPO3> GPO4
در صورتی که در هر کدام از این policy ها با یکدیگر conflict داشته باشند آن policy که به computer object نزدیکتر است اعمال می شود. یعنی اگر GPO 3 و GPO2 در تنظیمی با یکدیگر conflict داشته باشند. تنظیم هایی که در GPO3 اعمال شده است مد نظر قرار داده می شود.
در مورد user account ی که در Users قرار گرفته است نیز تنظیم هایی که در User Configuration ، policy های زیر اعمال می شوند.
GPO1> GPO2> GPO3> GPO5
اما زمانی که شما از گزینه Enforced استفاده می کنید تغییراتی اعمال می شود. فرض کنید شما می خواهید که در هر حالتی GPO1 تنظیم نهایی باشد که اعمال می شود. حتی اگر GPO نزدیکتری به object وجود داشته باشد که آن تنظیم را نقض کند. برای این کار کافی است که شما GPO1 را Enforced کنید.
اما به یاد داشته باشید، در صورتی که شما چند policy را Enforced کنید این قانون کمی تبصره می خورد.
همانطور که در قبل گفته شد در صورتی که در حالت عادی GPO3 و GPO2 با یکدیگر conflict داشته باشند GPO3 اعمال می شود. اما اگر این دو policy در حالت Enforced قرار داشته باشند. این GPO2 خواهد بود که اعمال می شود. یعنی اگر به شکل زیر policy ها را طراحی کنیم:
GPO1 > Domain
GPO2 (E) > OU1
GPO3 (E) > OU2
GPO4 > Computers
GPO5 > Users
سیستم ابتدا GPO های زیر را به ترتیب اعمال می کند:
GPO1
GPO4
GPO5
سپس GPO3 در نهایت GPO2 اعمال می شود. پس در صورتی که تنظیم هایی در GPO2 و GPO3 با یکدیگر conflict داشته باشند. این GPO2 خواهد بود که اعمال می شود.
