As GPOs são aplicadas respeitando uma ordem: local, site, domínio e unidades organizacionais. No caso das unidades organizacionais, primeiro são aplicadas as GPOs da OU pai e depois as GPOs das OUs filho. Um detalhe muito importante é que esse processo é válido apenas dentro de um mesmo domínio, ou seja, não existe herança de GPOs entre domínios diferentes.

 

Por exemplo, suponha que você tem o domínio contoso.com, e os domínios filhos SP.contoso.com e RJ.contoso.com. A estrutura de GPOs de cada um desses domínios é independente, ou seja, as GPOs do domínio contoso.com não serão herdadas pelos domínios filhos.

 

Portanto, o conceito de herança é válido apenas dentro de um domínio. Em outras palavras, se você configurar uma GPO e associá-la com o domínio, por padrão, todos os objetos do domínio receberão as configurações dessa GPO. Se você configurar uma GPO em uma unidade organizacional, as configurações dessa GPO serão aplicadas em todos os objetos que estejam dentro dessa unidade organizacional.

 

É importante deixar bem claro que ao configurar uma GPO em um objeto filho, como por exemplo, uma unidade organizacional, as configurações dessa GPO terão precedência, pois serão as últimas a serem aplicadas. Lembrando que esse comportamento pode ser alterado se o recurso No Override estiver habilitado em outra GPO.

 

Caso existam configurações na GPO do domínio que não conflitem com as configurações da GPO da unidade organizacional, essas configurações da GPO do domínio serão aplicadas normalmente no computador ou usuário, respeitando assim o conceito de herança.

 

Resumindo: caso existam configurações em conflito, será válida a última configuração que foi aplicada, respeitando a ordem local, site, domínio e unidade organizacional. Configurações que não estiverem em conflito serão aplicadas normalmente, independente do local onde estiver configurada a GPO. E caso alguma GPO tenha a opção No Override habilitada, as configurações dessa GPO não poderão ser sobrescritas por outras GPOs.

 

Você pode querer, por algum motivo, interromper esse processo de herança, ou seja, quebrar a herança de diretivas. Suponha que você tem uma OU chamada Vendas e dentro dessa OU exista outra OU chamada Usuários. Dentro da OU Usuário você tem a conta de usuário Fabiano. A figura abaixo ilustra esse cenário.

 

 

Com relação à GPOs, suponha que você possua uma GPO no domínio, uma GPO na OU Vendas e uma GPO na OU Usuários. Porém, você gostaria de aplicar na OU Usuários somente as configurações que estão na GPO dessa OU, em outras palavras, você não quer que as GPOs do domínio e a GPO da ou Vendas sejam aplicadas para os usuários que estão na OU Usuários.

 

A solução para esse caso é simples: basta você habilitar na OU Usuários a opção Block Policy Inheritance. Com isso, será aplicada somente a GPO que está diretamente associada com a OU Usuários. As demais GPOs não serão aplicadas.

 

 

Nota: Na figura acima, observe que o termo Block Policy Inheritance foi traduzido para Herança de Diretiva de Bloco. Melhor usar o termo em inglês.

 

 

Nota: Fabiano, surgiu uma grande dúvida. Suponha que eu habilite a opção No Override na GPO do domínio, e também habilite a opção Block Policy Inheritance em uma unidade organizacional. O que acontecerá? Essa é uma excelente pergunta, e é realmente algo que gera muita dúvida. Nesse tipo de conflito, sempre sairá vencedora a GPO que tiver a opção No Override habilitada. Em outras palavras, No Override sobrescreve Block Policy Inheritance.

 

Conclusão

 

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.