Active-Directory

如何用另一個 GPO 覆蓋一個 GPO?

  • March 28, 2017

如果有一個應用於所有域電腦的 GPO 禁用某些東西,有沒有辦法為域中的某些主機重新啟用禁用的東西,而不會將這些主機從預設的域電腦組中取出?

換句話說,是否可以將另一個 GPO(重新啟用已禁用的功能)應用於子 OU,其成員電腦仍然是域電腦的成員?如果是這樣,該 OU 應該在域層次結構中的確切位置創建,以及應該如何應用這兩個 GPO?

是的,絕對是,這是組策略層次結構的基礎。組策略按以下順序應用:

  1. 本地組策略(基於客戶端電腦 - 這未連接到您的 AD 組策略)
  2. 站點級策略
  3. 域級策略
  4. OU 級別政策

在後 3 個中的每一個中,每個“級別”可以有多個 GPO,它們的順序由系統管理員決定。這稱為“連結順序”,最小的數字最後處理,這意味著策略擁有最終決定權。

OU 策略從“根”開始應用,然後向下應用(如果有意義的話)。

這裡有一些關於這個主題的好讀物:

http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx

至於如何實際處理單個 GPO,這取決於策略本身,但通常,他們有以下三個選項:

  • 啟用
  • 已禁用
  • 未配置

所發生的一切是,最後執行的策略將對最終設置有最終的“發言權”。除了未進行任何更改的“未配置”之外。當您創建新 GPO 時,“未配置”是組策略中所有選項的預設設置。

因此,如果您目前的策略具有“已啟用”設置,則需要創建具有相同設置“已禁用”的 GPO。

引用自:https://serverfault.com/questions/373958