Наследование
групповых
политик
Объекты GPO можно привязать к сайту,
домену и различным уровням
OU.
Если, к примеру, инфраструктура Active Directory содержит объекты
GPO, привязанные на уровне домена, все контейнеры и OU под этим
корневым доменом наследуют все привязанные политики.
Например, OU "Domain Controllers" (Контроллеры домена) наследует
стандартную политику домена.
БЛОКИРОВКА НАСЛЕДОВАНИЯ ГРУППОВЫХ ПОЛИТИК
Наряду с наследованием GPO в Active Directory имеется возможность блокировки наследования от
всех GPO из родительских контейнеров.
Эта возможность может пригодиться, если контейнер содержит объекты пользователей и/или
компьютеров, которые очень важны для безопасности или производства.
Например, может быть создана OU, содержащая системы для работы службы удаленного рабочего
стола, которая не будет правильно функционировать, если применить GPO уровня домена.
В такой OU можно задать блокировку наследования, чтобы
гарантировать, что
к ней будут
применяться
только политики, привязанные к данной OU.
Если к такому контейнеру нужно применить какие-то GPO, необходимо создать связи на уровне
этого конкретного контейнера либо указать принудительную привязку к GPO из родительского
контейнера, что перекроет блокировку наследования.
