Tweet
trật tự ưu tiên và cách áp dụng GPO – một chủ đề cực kỳ quan trọng trong quản trị hệ thống Windows.
🧠 [Góc kỹ thuật dễ hiểu] Thứ tự ưu tiên của GPO khi có xung đột
Khi bạn có nhiều Group Policy Object (GPO) áp dụng cho một máy tính hoặc người dùng, Windows sẽ xử lý chúng theo thứ tự cụ thể, và chính thứ tự này sẽ quyết định policy nào thắng nếu có xung đột. Đây là nguyên lý “GPO Inheritance” (kế thừa GPO). Thứ tự áp dụng GPO (từ thấp đến cao – cái sau sẽ ghi đè cái trước nếu có xung đột):
👉 Vậy nên: OU GPO có "sức mạnh" ghi đè cao nhất nếu có xung đột với Domain hay Site-level GPO.
🔄 Cách Group Policy được áp dụng trên máy khách
Windows Client sẽ thực hiện quá trình áp dụng GPO theo 3 bước chính:
⏱ Tần suất áp dụng chính sách
Ví dụ:
🎓 Lời khuyên thực tế cho người học và admin mới:
📌 Tóm lại
Nếu hai chính sách đụng nhau, OU GPO sẽ ghi đè Domain GPO, Domain GPO sẽ ghi đè Site GPO, và tất cả ghi đè Local GPO. Điều này giúp bạn có thể điều chỉnh chính sách cho từng nhóm người dùng/máy tính một cách linh hoạt và kiểm soát.
Bạn nào đang học MCSA, triển khai AD hoặc chuẩn bị thi GPO trong Microsoft 365 hoặc Azure AD Hybrid thì đừng bỏ qua kiến thức này!
🧠 [Góc kỹ thuật dễ hiểu] Thứ tự ưu tiên của GPO khi có xung đột
Khi bạn có nhiều Group Policy Object (GPO) áp dụng cho một máy tính hoặc người dùng, Windows sẽ xử lý chúng theo thứ tự cụ thể, và chính thứ tự này sẽ quyết định policy nào thắng nếu có xung đột. Đây là nguyên lý “GPO Inheritance” (kế thừa GPO). Thứ tự áp dụng GPO (từ thấp đến cao – cái sau sẽ ghi đè cái trước nếu có xung đột):
- Local GPO – chính sách được đặt cục bộ trên máy tính.
- Site-level GPO – áp dụng cho các máy thuộc site Active Directory.
- Domain-level GPO – áp dụng cho toàn domain.
- Organizational Unit (OU) GPO – áp dụng cho OU chứa người dùng hoặc máy tính, bao gồm cả nested OU (OU lồng nhau).
👉 Vậy nên: OU GPO có "sức mạnh" ghi đè cao nhất nếu có xung đột với Domain hay Site-level GPO.
🔄 Cách Group Policy được áp dụng trên máy khách
Windows Client sẽ thực hiện quá trình áp dụng GPO theo 3 bước chính:
- Group Policy Client sẽ lấy danh sách GPO cần áp dụng.
- Máy client tải về và cache lại các GPO.
- Client-side extensions sẽ xử lý từng loại policy tương ứng như Registry, Security, Scripts, Folder Redirection,...
⏱ Tần suất áp dụng chính sách
- Computer Configuration: áp dụng khi máy khởi động và sau đó mỗi 90–120 phút.
- User Configuration: áp dụng khi người dùng đăng nhập và cũng mỗi 90–120 phút sau đó.
Ví dụ:
- Chính sách tường lửa (firewall) thường nằm trong Computer Configuration.
- Chính sách hạn chế Control Panel hay Desktop thì nằm trong User Configuration.
🎓 Lời khuyên thực tế cho người học và admin mới:
- Khi test GPO, hãy tạo OU riêng và link GPO tại OU đó để tránh ảnh hưởng toàn domain.
- Dùng lệnh gpresult /r để kiểm tra GPO nào được áp dụng thực tế trên máy người dùng.
- Đừng quên: GPO sau cùng có hiệu lực là GPO ở OU (nếu không bị block hoặc lọc bởi security).
📌 Tóm lại
Nếu hai chính sách đụng nhau, OU GPO sẽ ghi đè Domain GPO, Domain GPO sẽ ghi đè Site GPO, và tất cả ghi đè Local GPO. Điều này giúp bạn có thể điều chỉnh chính sách cho từng nhóm người dùng/máy tính một cách linh hoạt và kiểm soát.
Bạn nào đang học MCSA, triển khai AD hoặc chuẩn bị thi GPO trong Microsoft 365 hoặc Azure AD Hybrid thì đừng bỏ qua kiến thức này!