GPO强制优先

增强型GPO的优先顺序是什么，我真的找不到任何能提供精确答案的MS文章。

我目前的理解如下：

假设我们有5个GPO-GPO1至GP05。我将使用一个考试问题来说明问题。

GPO    Linked to   Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 -    Site 1   - Yes
GP04 -     OU1     - No
GP05 -     OU1     - Yes

现在，我的理解是，它们将按照从头到尾的顺序（因此优先级最高的顺序）应用。

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

我的理解正确吗？非常感谢！

我在这里写过：http : //myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx

TL; DR-也将强制执行的最高GPO或父GPO将获胜。

从Microsoft：

通过将链接设置为“强制”，可以指定GPO链接中的设置应优先于任何子对象的设置。无法从父容器中阻止强制执行的GPO链接。如果没有从上方强制执行，则如果GPO包含冲突的设置，则较高级别（父级）的GPO链接的设置将被链接到子组织单位的GPO中的设置覆盖。通过强制执行，父GPO链接始终具有优先级。默认情况下，不强制执行GPO链接。

编辑：

另请参见此处：GPO提供了意外的价值

那里特别指出：

强制设置是Active Directory容器和GPO之间的链接的属性。它用于强制GPO应用于容器内的所有Active Directory对象，无论它们嵌套的深度如何。强制执行的GPO中的设置会覆盖其他可能会占优势的设置，因为它们将在以后应用。如果在层次结构的两个级别上强制实施的GPO中存在冲突设置，则以距客户端最远实施的设置为准。这与通常的规则相反，在该规则中，以最近链接的GPO为准。

Ryan（和I：P）回答了有关如何处理2个或更多强制GPO的问题，但我想澄清一下，尽管链接到该站点的GPO3将“获胜”，但OP的应用顺序却不正确。

OP指出：

现在，我的理解是，它们将按照从头到尾的顺序（因此优先级最高的顺序）应用。

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

记住：

就序列本身而言（包括执行，尤其是处理时查看GPO的序列顺序）：

GPO3（已强制执行其任何设置并从此开始优先处理）

->

GPO1或GPO2（取决于这2个域的链接顺序，其中GPO2设置被否决，因为GPO3在站点级别被强制执行，但GPO2被强制执行）

->

GPO4或GPO5（取决于这2个OU级别上的链接顺序，其中GPO5或GPO3设置被否决的情况下，将强制执行GPO5）