Построение иерархии объектов групповой политики
Параметры, определенные в рамках объекта групповой политики, воздействуют только на те объекты каталога, к которым они применены. Чтобы определить множество объектов каталога, подпадающих под действие того или иного объекта групповой политики, необходимо выполнить привязку последнего к одному или нескольким контейнерам каталога. Для любого объекта групповой политики (за исключением локальных) разрешается привязка к любому из трех классов объектов каталога – сайту, домену или подразделению.
Любые объекты, ассоциированные с учетными записями пользователей и компьютеров, расположенные внутри этих контейнеров, подпадают под действие привязанного объекта групповой политики.
В ситуации, когда в рамках дерева каталога имеется привязка нескольких объектов групповой политики, вполне возможна ситуация, когда некоторые объекты каталога (или даже все) могут подпадать под действие сразу нескольких объектов групповой политики. При этом параметры, определенные в них, применяются к объектам каталога в соответствии с определенным порядком:
- сначала применяются объекты групповой политики, привязанные к сайту, в котором находится объект каталога;
- после этого применяются объекты, привязанные на уровне домена,
- последними применяются объекты групповой политики, привязанные к подразделениям.
Если имеется несколько вложенных подразделений, объекты групповой политики применяются в соответствии с уровнями вложенности. В данном случае речь идет о наследовании параметров вышестоящих объектов групповой политики (group policy inheritance).
Объекты групповой политики, привязанные к дочерним контейнерам, могут переопределять параметры объектов групповой политики, привязанных к вышестоящим объектам. В этом случае принято говорить о переопределении (group policy overriding) параметров объекта групповой политики. При этом наследуются только те параметры объектов групповой политики, что были определены для родительского контейнера, но не определены для дочернего. В противном случае значения параметров, определенные в объекте групповой политики, привязанном к нижестоящему объекту групповой политики, будут переопределять значения аналогичных параметров объекта групповой политики, привязанной к вышестоящему контейнеру.
Если некоторый параметр объекта групповой политики допускает множество значений, значения параметра объекта групповой политики родительского контейнера дополняют значения аналогичного параметра, определенного в рамках объекта групповой политики дочернего контейнера.