ローカルGPO対DC適用済みGPO
gpresult /r、既存のDC適用済みGPO信頼済みサイト用です。
GPO名:GPO-NAM-IE-TRUSTEDSITES
ローカルグループポリシーエディター(gpedit.msc)を介してInternet Explorerのセキュリティサイトゾーンにサイトを追加しました。ランgpupdate /forceとボックスを再起動します。 IE信頼済みサイトゾーンリストにサイトが追加されました。
これは、ローカルGPOが常にDC適用されるGPOよりも優先されるか、または同じオブジェクトで構成が行われる場合に優先します。経験則とは何ですか?OR
DC適用されるGPOが正しく構成されていない可能性がありますか?OR
私のドメインユーザーIDがWin7ボックスのAdministratorsグループのメンバーであることと関係がありますか?
説明してください..
これは予想される動作です。 Internet Explorerのサイトとゾーンの割り当てリストの設定は、複数のポリシーからの設定がある場合にマージされます。 gpresult/hを使用して、結果のポリシーと優先ポリシーのセットを表示できます。
すべてのサイトからゾーンへの割り当てが単一のレジストリ値にある場合、ドメインポリシーはローカルポリシーを上書きします。同じサイトがドメインポリシーとローカルグループポリシーの両方で指定されている場合、ドメインポリシーがローカルポリシーを上書きします。たとえば、Microsoft.comがドメインポリシーのインターネットゾーンで定義され、信頼済みサイトゾーンがローカルポリシーで定義されている場合、ドメインポリシー設定が上書きされ、Microsoft.comはインターネットゾーンに配置されます。ただし、各サイトは個別のレジストリ値であり、個々のサイトの設定はマージされます。
ローカルポリシー設定を防ぐ唯一の方法は、グループポリシー設定を有効にすることです。
コンピューター>ポリシー>管理用テンプレート>システム>グループポリシー:ローカルグループポリシーオブジェクトの処理をオフにします。
グレッグが彼の回答で述べたように、Internet Explorerのサイトからゾーンへの割り当てリストの設定は、複数のポリシーからの設定がある場合にマージされます。
しかし、一般的な質問に答えるには:Does this mean that local GPO always take precedence over DC applied GPO or in case configuration is done on same object? What is rule of thumb?
ポリシーの適用と継承のブロックを1分間無視した場合、グループポリシーは次の優先順位で適用されます。
LSDOU:
地元
地点
ドメイン
組織ユニット
つまり、ローカルグループポリシーが最初に適用され、優先順位が最も低くなります。つまり、ポリシー設定の競合(複数のポリシーで構成されたポリシー設定)がある場合、ローカルグループポリシーはサイトにリンクされたポリシーによって上書きされます。ドメインにリンクされたポリシーと組織単位にリンクされたポリシー。