Tweet
Hiểu Rõ GPO Inheritance và Cách Giới Hạn Áp Dụng Chính Sách GPO Theo Nhóm
Bạn đã từng cấu hình Group Policy (GPO) nhưng kết quả áp dụng lại không như mong đợi? Có thể bạn đang bị ảnh hưởng bởi... kế thừa chính sách và thứ tự ưu tiên (GPO inheritance & precedence) – thứ mà rất nhiều người mới dễ bị nhầm lẫn!
Trong bài viết này, mình sẽ giúp bạn hiểu rõ cách Windows xử lý GPO từ trên xuống dưới, và cách Security Filtering giúp bạn “bẻ lái” việc áp dụng GPO theo từng nhóm người dùng cụ thể. Đây là kiến thức cực kỳ quan trọng cho cả người học MCSA lẫn admin hệ thống đang triển khai AD cho doanh nghiệp.
1. GPO Inheritance – Khi chính sách “truyền đời”
Windows áp dụng GPO theo thứ tự mặc định là:
Local → Site → Domain → OU → Child OU, hay còn gọi là LSDOU.
=> Chính sách càng "gần" người dùng thì càng có ưu tiên cao hơn.
Tuy nhiên, vẫn còn nhiều yếu tố ảnh hưởng: ■ Link Order – Thứ tự liên kết GPO trong một cấp
Khi có nhiều GPO được liên kết tại cùng một cấp (ví dụ Domain), GPO nào có số thứ tự nhỏ hơn sẽ có ưu tiên cao hơn. Bạn có thể điều chỉnh thứ tự này trong giao diện quản trị GPMC. ■ Block Inheritance – Chặn “thừa kế” chính sách
Tùy chọn này được bật tại cấp OU để ngăn GPO từ Domain hoặc Site áp dụng xuống OU đó. Tuy nhiên, nó không chặn được các GPO có đánh dấu “Enforced”. ■ Enforced – Chính sách cứng đầu
GPO được đánh dấu “Enforced” sẽ vượt qua cả Block Inheritance, và đảm bảo giá trị trong nó luôn thắng nếu có xung đột với GPO khác ở mức thấp hơn.
➡️ Vì vậy, một GPO từ Domain dù xa nhưng nếu “Enforced” vẫn có thể ghi đè chính sách ngay tại OU con.
2. Security Filtering – GPO không cần phải áp cho tất cả
Mặc định, mọi GPO áp dụng cho tất cả Authenticated Users trong scope của nó. Nhưng đôi khi bạn chỉ muốn áp dụng chính sách cho một nhóm nhỏ – lúc đó bạn dùng Security Filtering. Cách làm:
■ Áp dụng GPO cho nhóm cụ thể:
🧠 Lưu ý: GPO chỉ scope đến Global Groups, không dùng được với Domain Local Group. ■ Áp dụng GPO cho tất cả, trừ một số nhóm:
➡️ Cách này giúp bạn dễ dàng giới hạn phạm vi áp dụng GPO mà không cần tạo OU mới.
Ví dụ thực tế
Giả sử bạn có một GPO "Cấm truy cập Control Panel" và bạn chỉ muốn áp cho nhóm Interns, không áp cho nhân viên chính thức.
Kết quả: Chỉ Interns bị áp chính sách, còn PermanentStaff thì không bị ảnh hưởng.
Tổng kết
Hiểu và điều chỉnh kế thừa chính sách GPO giúp bạn:
👉 Nếu bạn đang học MCSA, quản trị AD hoặc triển khai domain ở doanh nghiệp – đừng bỏ qua kiến thức này! Nó sẽ giúp bạn xử lý lỗi chính sách một cách dứt điểm và chuyên nghiệp.
Bạn từng gặp lỗi do GPO thừa kế chưa? Hãy chia sẻ trải nghiệm hoặc câu hỏi bên dưới nhé để cùng học hỏi!
#GPO #ActiveDirectory #WindowsServer MCSA #SysAdmin
Bạn đã từng cấu hình Group Policy (GPO) nhưng kết quả áp dụng lại không như mong đợi? Có thể bạn đang bị ảnh hưởng bởi... kế thừa chính sách và thứ tự ưu tiên (GPO inheritance & precedence) – thứ mà rất nhiều người mới dễ bị nhầm lẫn!
Trong bài viết này, mình sẽ giúp bạn hiểu rõ cách Windows xử lý GPO từ trên xuống dưới, và cách Security Filtering giúp bạn “bẻ lái” việc áp dụng GPO theo từng nhóm người dùng cụ thể. Đây là kiến thức cực kỳ quan trọng cho cả người học MCSA lẫn admin hệ thống đang triển khai AD cho doanh nghiệp.
1. GPO Inheritance – Khi chính sách “truyền đời”
Windows áp dụng GPO theo thứ tự mặc định là:
Local → Site → Domain → OU → Child OU, hay còn gọi là LSDOU.
=> Chính sách càng "gần" người dùng thì càng có ưu tiên cao hơn.
Tuy nhiên, vẫn còn nhiều yếu tố ảnh hưởng: ■ Link Order – Thứ tự liên kết GPO trong một cấp
Khi có nhiều GPO được liên kết tại cùng một cấp (ví dụ Domain), GPO nào có số thứ tự nhỏ hơn sẽ có ưu tiên cao hơn. Bạn có thể điều chỉnh thứ tự này trong giao diện quản trị GPMC. ■ Block Inheritance – Chặn “thừa kế” chính sách
Tùy chọn này được bật tại cấp OU để ngăn GPO từ Domain hoặc Site áp dụng xuống OU đó. Tuy nhiên, nó không chặn được các GPO có đánh dấu “Enforced”. ■ Enforced – Chính sách cứng đầu
GPO được đánh dấu “Enforced” sẽ vượt qua cả Block Inheritance, và đảm bảo giá trị trong nó luôn thắng nếu có xung đột với GPO khác ở mức thấp hơn.
➡️ Vì vậy, một GPO từ Domain dù xa nhưng nếu “Enforced” vẫn có thể ghi đè chính sách ngay tại OU con.
2. Security Filtering – GPO không cần phải áp cho tất cả
Mặc định, mọi GPO áp dụng cho tất cả Authenticated Users trong scope của nó. Nhưng đôi khi bạn chỉ muốn áp dụng chính sách cho một nhóm nhỏ – lúc đó bạn dùng Security Filtering. Cách làm:
■ Áp dụng GPO cho nhóm cụ thể:
- Vào tab Delegation → nhấn Advanced
- Gỡ bỏ quyền “Apply Group Policy” khỏi Authenticated Users
- Thêm nhóm Global Group mong muốn → cấp quyền “Apply Group Policy”
🧠 Lưu ý: GPO chỉ scope đến Global Groups, không dùng được với Domain Local Group. ■ Áp dụng GPO cho tất cả, trừ một số nhóm:
- Vẫn trong tab Delegation → Advanced
- Thêm nhóm mà bạn muốn loại trừ
- Gán quyền Deny cho “Apply Group Policy”
➡️ Cách này giúp bạn dễ dàng giới hạn phạm vi áp dụng GPO mà không cần tạo OU mới.
Ví dụ thực tế
Giả sử bạn có một GPO "Cấm truy cập Control Panel" và bạn chỉ muốn áp cho nhóm Interns, không áp cho nhân viên chính thức.
- Bạn gỡ Authenticated Users
- Thêm nhóm Interns → Allow Apply
- Thêm nhóm PermanentStaff → Deny Apply
Kết quả: Chỉ Interns bị áp chính sách, còn PermanentStaff thì không bị ảnh hưởng.
Tổng kết
Hiểu và điều chỉnh kế thừa chính sách GPO giúp bạn:
- Tránh xung đột chính sách khi triển khai nhiều tầng OU
- Giảm rủi ro do GPO “ẩn danh” từ trên tác động xuống
- Linh hoạt hơn trong việc giới hạn GPO theo nhóm
👉 Nếu bạn đang học MCSA, quản trị AD hoặc triển khai domain ở doanh nghiệp – đừng bỏ qua kiến thức này! Nó sẽ giúp bạn xử lý lỗi chính sách một cách dứt điểm và chuyên nghiệp.
Bạn từng gặp lỗi do GPO thừa kế chưa? Hãy chia sẻ trải nghiệm hoặc câu hỏi bên dưới nhé để cùng học hỏi!
#GPO #ActiveDirectory #WindowsServer MCSA #SysAdmin