Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểu cách thừa kế và thứ tự thực hiện của các đối tượng chính sách nhóm. Khi chúng ta ứng dụng một đối tượng chính sách nhóm đến một đối tượng chứa, nó được thừa kế trong suốt các cấp bậc của hệ thống. Đây là một cách thừa kế của Active Directory trong việc đơn giản hoá các nhiệm vụ quản trị. Chúng ta có thể kết hợp đối tượng chứa Active Directory với một GPO trong quá trình tạo nó. Đối tượng chứa có thể là một site, domain hoặc một OU. Việc thiết lập chính sách nhóm trong một GPO sẽ ảnh hưởng các đối tượng trong một đối tượng chứa.
Việc thiết lập chính sách sẽ được thừa kế theo thứ tự sau: - Site
- Domain - OU
Theo mặc định. Windows 2008 ước lượng các đối tượng chính sách nhóm từ đối tượng chứa xa nhất của một đối tượng. Cái mà nó được áp dụng trong việc
thiết lập một site, domain và sau cùng là một OU. Việc thiết lập chính sách của một OU đến computer hoặc user thuộc về nó, sẽ thiết lập sau cùng đó là điều sẽ được áp dụng cho user hoặc computer. Do đó, một thiết lập chính sách nhóm trong đối tượng chứa Active Directory đến user hoặc computer là mâu thuẫn quan trọng của việc thiết lập chính sách nhóm trong một đối tượng chứa đó là cái ở xa nhất kể từ user hoặc computer.
Thiết lập chính sách nhóm có thể được thiết lập cho các OU cha và OU con. Trong một số trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập sẽ được áp dụng. Nếu cả hai thiết thiết lập là tương thích thì sau đó các thiết lập từ cả OU cha và OU con sẽ được áp dụng trên các đối tượng của OU con. Tuy nhiên, nếu chúng không tương thích thì sau đó OU con sẽ không thừa kế các thiết lập của OU cha. Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối tượng của OU con. Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OU cha và không ở trên OU con thì sau đó các đối tượng của OU con sẽ thừa kế các thiết lập của OU cha.
Các quy tắc thừa kế mặc định trong windows 2008 có thể được sửa đổi. Chúng ta cũng có thể sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ. Hai tuỳ chọn đã được cung cấp cho việc thay đổi quá trình mặc định:
- Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của một đối tượng chứa con từ việc thừa kế các thiết lập của đối tượng chứa cha. Nó đã được sử dụng khi một OU cần phải thiết lập chính sách duy nhất. Khối thừa kế được áp dụng đến tất cả các đối tượng chính sách nhóm trong đối tượng chứa cha. Trong trường hợp mâu thuẫn, tuỳ chọn No Override luôn đặt quyền ưu tiên lên tùy chọn này.
- No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một OU con từ việc đè lên các thiết lập một GPO với mức độ cao nhất. Tuỳ chọn này là một tập lên các GPO. Đây là điều có thể trong việc thiết lập tuỳ chọn này trên một hay nhiều hơn một GPO. Trong một số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong Active Directory sẽ đặt quyền ưu tiên lên trên các GPO khác.
Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computer trong site, bất luận các domain thuộc về chúng. Tuy nhiên, GPO đã được lưu trữ chỉ trong một domain controller trong một site. Tất cả các computer phải tiếp xúc với domain controller đó là cái đã chứa GPO cho các thiết lập chính sách. Từ khi
đó, site có thể chứa nhiều domain, các domain này có thể chứa nhiều domain, các domain này có thể thừa kế GPO đã được kết hợp với site.