# GPO觀念入門01 ## 目錄 --- - [GPO概念](GPO概念) --[層級介紹](層級介紹) --[GPO簡介](GPO簡介) --- # GPO基本 學AD的GPO，必須先從他的概念先學習，可以讓未來實作上會比較輕鬆。 ### 層級介紹 在學習GPO觀念的時候，可以先從這個結構下手。  下面會用其屬性以及圖片顯示的名稱說明 :::info 1. 網域：week7day.local 2. Default Domain Policy：網域下所掛載之GPO的捷徑 3. Domain Controllers：OU 4. 群組原則物件（包含下面所框選之處）：GPO的實體 5. 群組原則結果：GPO結果精靈 ::: 簡單介紹完一些名詞之後，接下來慢慢介紹其功能、用途，詳見下圖以及文字說明。 ### GPO簡介   :::info 1. 圖中框選處是為網域或者OU下所掛載的GPO，說明目前這個狀態、範圍之下所套用的GPO有哪一些。 2. 一個OU（例如Domain Controllers）套用一個以上的GPO，GPO的效果會疊加，例如：OU_01連結了A、B_GPO，OU_01上面會有A_GPO + B_GPO的效果。 3. 圖片中有一個「強制」，代表的意思為「是否強制將GPO套用到OU或者是網域上」，若是OU或者網域上有套用其他多個GPO，例如設定上，「有重複」將無視繼承關係，會直接強制GPO的設定為主。 4. 「啟用連結」，你的啟用連結需要掛載在OU上GPO才會有效果，而每一OU都可以自行決定需要啟用哪些GPO，也就是每個GPO上面都可以選擇「啟用連結」與否。 5. 「GPO狀態」，這個部分比較多，需要列舉說明，斯如下： （1）已啟用：代表其對所有「套用」範圍功能都啟用 （2）使用者組態設定停用：本GPO對所有「套用」範圍都停用使用者組態設定。 （3）電腦組態設定停用：本GPO對所有「套用」範圍都停用電腦組態設定。 （4）所有設定停用：本GPO對所有「套用」範圍都停用所有的組態設定。意為本GPO到套用範圍並且啟用連結也不會有作用。 ::: ### GPO影響範圍 接下來介紹一下，GPO的「套用範圍」、GPO套用「使用者和電腦權限」，參考圖如下。  :::info 1. 一樣簡單介紹一下名詞，Default Domain Controllers Policy：GPO名稱；往下走，第一個框是該「GPO的套用範圍」；再往下是該「GPO的套用使用者以及電腦權限」。 2. 「GPO的套用範圍」，代表目前GPO正在套用的OU或者網域。 3. 「GPO的套用使用者以及電腦權限」，目前GPO生效的User或Computer範圍。 4. GPO生效的條件如下： （1）GPO要套用在OU或者網域上，連結啟用。 （2）GPO狀態為啟用。 （3）安全性篩選有權限存取；User以及Computer要丟進安全性篩選內才可以生效。 （4）User以及Computer之物件需要丟進「套用範圍內」才會有效。 （5）他們的階層關係是向上的，假設ABC.local由上至下有OU_1、OU_2、OU_3，我將某Computer放在OU_3，代表會同時包含ABC.local、OU_1、OU_2，所以這個階層以上的OU套用GPO也會生效。可以想像成一個資料夾下面再創建一個資料夾的簡單數狀概念。 ::: 喝杯水、喘口氣，下一篇介紹順序、繼承關係等等。 ###### tags: `GPO` `Windows Server` `Windows AD`