Ciao
in questo post, volevo chiarire alcuni aspetti di base sull'ereditabilità delle GPO.

Le GPO hanno una sequenza con cui vengono apllicate:
- Local Policy  (le prime ad essere valutate)
- Site Policy
- Domain Policy
- OU policy
- OU Policy
-ecc
La policy che avrà effetto sui nostri "users / computers" sarà quella più vicina (esclusa la Local Policy ) chiaramente in presenza di impostazioni contrastanti (cioè la stessa impostazione con parametri diversi). In caso contrario le impostazioni saranno "sommate". (GPo1 + GPo2 + ecc)

Esistono delle impostazioni che modificano il comportamento con cui sono applicate le policy :

- Blocking Group Policy inheritance = blocca l'ereditabilità della GPO.
- Enforcing a GPO link = Forza la policy.

La differenza tra le due :
- la prima è una proprietà dell'ogetto contenitore (domain, ou, ecc)
- la seconda è un proprietà dell'oggetto GPO.

Per fare un esempio "linkiamo" una GPO alla OUPadre con impostazioni "User e Computer" ma vogliamo che i "Computer" presenti nella "OUComputerREMOTE"  abbiano impostazioni diverse :
- possiamo applicare a tale OU il "Blocking Group Policy inheritance " al fine di non fare propagare le impostazioni provenienti dalla GPO linkata alla OUPadre
- Possiamo settare le stesse impostazioni con diversi parametri e  altre impostazioni.

Invece volendo essere sicuri che la GPO applicata alla OUPadre abbia effetto dovrò applicare alla GPO la proprietà " Enforcing a GPO link ".

OUPadre
  I___OUComputer
         I__OUComputerSEDE
         I__OUComputerREMOTE
         I
         OUUser
         I__OUUserSEDE
         I__OUUserREMOTE
         I
         OUGroups
         I__OUGroupsComputers
         I__OUGroupsUsers

Da ricordare che "Enforcing a GPO link" ha precedenza rispetto "Blocking Group Policy inheritance"

Fury