假设名为现在有如下一个简单的网络架构。

　　在域OU设置中，有一个办公文员的OU，其在组策略设置中，当系统登陆的时候，默认的用户名是上次登陆的用户。也就是说，在系统登陆的窗口中，会显示出上次登陆的帐户名。现在这个OU下面，还有一个名字为销售人员的OU。在这种架构下，办公文员OU称为父OU，销售人员的OU称为子OU。

　　现在我们就来看看组策略是如何继承的。

　　一、 销售人员OU继承办公文员OU的组策略

　　如果父OU的配置了某个组策略，但其子OU没有配置这个组策略，则父OU就会把这个子OU的组策略传递给子OU，从而实现组策略的继承功能。这里要注意一个问题，就是这里的“子OU没有配置这个组策略”，是指没有配置过类似的组策略，如果配置过，不管是允许还是禁止，则都不会再发生组策略的继承。

　　也就是说，如果办公文员这个OU中，网络管理员配置了一个组策略，在系统登陆的时候显示上次登陆的用户名。而若在其子OU销售人员OU中，没有对这个组策略进行任何的配置，(也许默认的情况下，利用域帐户登陆的话，是不显示上次登陆的用户名)。此时，域控制器就会认为销售人员OU中没有对这个策略进行过配置，就会继承办公文员这个OU的组策略，在下次登陆的时候，显示上一次登陆的域帐户名。

　　并且，这个组策略的继承还会一直延续下去。如在这个销售人员组中，下面还有销售一组、二组的OU时，这个办公文员组的组策略就会一直传递给销售一组、销售二组等等。但是，这里要注意一点，就是我们在查看子OU的组策略的时候，是不会显示父OU的组策略。也就是说，组策略继承给销售人员这个OU的时候，我们看其组策略的设置，其这个 “显示上次登陆帐户名”这个组策略，仍然没有被配置。但是，其确确实实继承了这个组策略。所以，这就给我们组策略维护的时候，有一定的迷惑度。

　　上面我们都次强调，在组策略继承中，必须子OU对应的组策略没有经过默认配置的情况下，虽然其可能具有默认值，才能够发生组策略的继承事件。但是，若子OU对对应的组策略进行了设置，即使只是显示的反应其默认值，这这个继承就会被打断。

　　利用官方的话说，就是如果子容器内的某个策略被配置，则此配置值就会覆盖由其父容器所传递下来的配置值。这句话有两个意思。

　　一是当父OU配置了某个组策略，而子OU也配置了这个组策略，则无论这两个组策略是否一致，则子OU都不会继承父OU的这个组策略。也就是说，若子OU的组策略配置即使跟父OU的组策略配置是一样的，其也是直接使用自己的组策略，而不会去关心父OU的组策略倒是是如何配置的。若他们的组策略配置相互矛盾，则子OU更加不会理睬父OU的组策略。儿子大了，做老爸的也管不住了。

　　二是若父OU配置了某个组策略，而当时子OU还没有对这个组策略配置过，则子OU会继承这个父OU。但是，后来网络管理员发现子OU不能采用这个组策略，就在子OU的组策略中重新设置了。此时，这个重新设置的值就会覆盖父OU组策略传递下来的值。

　　下面笔者就举一个例子来加深大家对这个原则的理解。

　　假设，在父OU办公文员这个组上，我们网络管理员出于安全方面的考虑，设置了一个“禁止在桌面上显示网络邻居”的组策略。此时，若子OU销售管理员组一开始就设置了这个组策略，不管其是禁止还是允许，则子OU都不会考虑继承父OU的这个组策略。也就是说，当儿子的有了自己的注意之后，就不会听老子的话了。若子OU刚开始没有配置这个组组策略，则当销售管理员这个OU加入到办公文员这个OU中后，则其就会继承父OU的这个组策略。但是，后来网络管理员出于某些考虑，在子OU这个组策略上，设置为“允许在桌面上显示网络邻居”，此时这个配置值就会覆盖掉原有的父OU继承下来的配置值。

　　以上两个原则就是组策略继承中的两个基本定律。在实际工作中，除了以上的这些规则外，还需要知道一些不成文的规定，或者叫做优先性问题。

　　域中的组策略，跟计算机本身的组策略一样，也有计算机配置与用户配置两类。现在万一出现这种情况，如果我们不小心在配置组策略的时候，计算机配置与用户配置起了冲突，该怎么处理呢?

　　一般情况下，系统是 以计算机配置优先，而不管计算机配置与用户配置的先后性问题。也就是说，在计算机配置中，配置了“禁止在桌面上显示网络邻居”的组策略，而在用户配置中，又设置其为允许的。此时，虽然用户配置在后，但是，用户登录后，在桌面上仍然找不到网络邻居的配置。可见，计算机配置要比用户配置优先性高。

　　所以，为了避免后续工作的麻烦，网络管理员在配置组策略的时候，最好就采用单一的配置模式，要么通过用户配置来实现，要么通过计算机配置来实现。不过，一般情况下，在用户人手一台主机的情况下，还是建议通过计算机配置来实现组策略。

　　2、 组策略的累加问题

　　在上面的阐述中，笔者已经谈到了组策略继承中的累积问题。也就是说，如果用户的组其有三层，分别为办公文员、销售管理与销售一组三个OU。而销售一组这个相当于是孙子，其会继承所有办公文员、销售管理OU中的组策略，当然，前期是销售二组的OU没有配置对应的组策略。这个组策略的累加问题，在某些方面有利于我们组策略的配置。但是，凡事有利必有弊，当权限累加的多了，则我们后续管理会非常的麻烦。为此，笔者建议，在规划OU层次的时候，不要太多，一般情况下，不要超过三层。若超过这个层数，达到四层、五层甚至更多，则作为网络管理人员，就很难控制这个权限的累加问题。

　　3、 本地计算机策略与OU组策略的优先性问题

　　我们都知道，在用户本机也可以配置组策略，来管理计算机。在以前的文章中，笔者也谈到过类似的问题。现在企业若引入了域控制器的话，则就会产生一个新的问题。如果域控制器，如OU的组策略与用户本机的组策略相冲突的话，则该如何处理呢?

　　如在企业还没有采用域控制器或者没有采用域组策略管理之前，就通过计算机的本地组策略来进行计算机管理，如在本地计算机组策略中，设置了“禁止在桌面上显示网络邻居” 的组策略。但是，在使用域管理后，网络管理员觉得在桌面上没有显示网络邻居非常的不方便，所以，就在域级别上，设置了允许在桌面上显示网络邻居这个组策略。当计算机加入到这个域之后，本级计算机组策略与域计算机组策略就发生了冲突。在这种情况下，是域组策略优先。

　　这跟上面提到的子OU拒绝父OU的组策略是有区别的，我们在组策略管理的时候，需要注意这个问题。

　　4、 子OU拒绝继承父OU的组策略

　　在组策略的管理中，我们还可以通过设置实现，子OU无论在什么情况下，都拒绝继承父OU的组策略。也就是说，直接采用子OU的组策略值，当子OU某些组策略没有配置的话，就直接使用默认值。

　　也就是说，现在有个办公文员的OU，其设置了“禁止在桌面上显示网络邻居”这个组策略。若我们在建立销售管理人员OU的时候，设置了“阻止策略继承”，则当我们把销售管理人员OU加入到办公文员OU中，则销售管理人员这个OU是不会继承父OU中的任何一个组策略的。即使，销售人员OU根本没有配置“在桌面上显示网络邻居”这个组策略，其仍然是采用默认值。

　　不管一般情况下，我们是不建议采用这个“阻止策略继承”选项的，因为如此的话，我们就需要在子OU上，一个一个的配置了。这么处理起来的话，就会增加工作量。只有在子OU跟父OU组策略相差十万八千里的情况下，才使用这个策略。当稍有差异的时候，我们可以在子OU上通过配置对应的组策略来覆盖上面继承下来的值，而不需要通过采用“阻止策略继承”的极端方法来实现。