Un ejemplo clásico podría ser:
Un dominio, nombredominio y de varias OU que cuelgan del dominio, compras, ventas, almacen,… etc.
Una directiva aplicada al dominio, pero no queremos que se aplique a la OU ventas.
Para prevenir que al contenedor hijo (OU ventas) se le aplique la directiva del contenedor padre (nombredominio) habilitamos 'bloquear la herencia de directivas' en el contenedor hijo.
Este bloqueo lo usamos para prevenir que la OU ventas herede todos los valores de la directiva de grupo, no parte de ellos. Como ya había comentado anteriormente, esto es útil cuando un contenedor de AD sólo requiere una directiva y queremos asegurarnos que no se heredan otros valores. Por ejemplo, bloqueamos la herencia si esperamos que un administrador de la OU ventas sea el encargado de controlar las directivas que se le apliquen únicamente a esa OU.
Cuando utilizamos el bloqueo de la herencia hemos de tener en cuenta que:
- No podemos elegir selectivamente que directivas se bloquearan, es decir, todas las directivas serán bloqueadas desde los contenedores padre, excepto las configuradas con la opción No override usando la consola GPMC, aplicadas mediante élla y que dicha consola se encuentre instalada.
- No se bloqueará la herencia de una directiva vinculada a un objeto padre si en el vínculo está configurada la opción No override.