3.6.6. Блокування спадкування політики

 

Windows 2000 дозволяє блокувати спадкування політики від батьківського об’єкта. Наприклад, якщо ви хочете, щоб відносно контейнера IT і всіх його підконтейнерів діяли тільки політики, визначені на рівні IT, на сторінці Group Policy (Групова політика) властивостей об’єкта IT встановіть прапорець Block Policy Inheritance (блокувати спадкування політики). При цьому політики Р1 і Р3 не будуть застосовуватись у відношенні до контейнерів IT Workstations і IT Servers. Блокування спадкування політик не можна відключити для якої-небудь однієї політики. Якщо для будь-якого контейнера включено блокування спадкування політик – щодо цього контейнера і всіх його підконтейнерів перестають діяти абсолютно всі політики, призначені на вищих рівнях ієрархії каталогу Actve Directory. Цей параметр може бути налаштований окремо для конкретного об’єкта GPO і діє відносно всіх контейнерів, для яких призначений цей GPO. Якщо для об’єкта GPO встановлений прапорець No Override (не скасовувати), значення параметрів з відповідної політики завжди будуть мати великий пріоритет у разі виникнення конфліктів політик незалежно від того, на якому рівні ієрархії розташовані контейнери, до яких застосовується даний GPO. Наприклад, якщо ви відкриєте вікно властивостей домену shinyapple.msft і встановите прапорець No Override (не скасовувати) для політики Р1, об’єкти, розташовані нижче за ієрархією Actve Directory, завжди будуть налаштовані згідно зі значеннями, заданими в політиці Р1. У разі виникнення конфлікту політик значенням з Р1 буде віддано перевагу. Гарним прикладом ситуації, в якій може знадобитися використання даної можливості, є застосування параметрів безпеки. Якщо для будь-якого контейнера включено блокування спадкування політик, політика, що володіє властивістю No Override (не скасовувати), все одно буде застосована, так як параметр No Override (не скасовувати) має високий пріоритет.