Active-Directory
如何用另一個 GPO 覆蓋一個 GPO?
如果有一個應用於所有域電腦的 GPO 禁用某些東西,有沒有辦法為域中的某些主機重新啟用禁用的東西,而不會將這些主機從預設的域電腦組中取出?
換句話說,是否可以將另一個 GPO(重新啟用已禁用的功能)應用於子 OU,其成員電腦仍然是域電腦的成員?如果是這樣,該 OU 應該在域層次結構中的確切位置創建,以及應該如何應用這兩個 GPO?
是的,絕對是,這是組策略層次結構的基礎。組策略按以下順序應用:
- 本地組策略(基於客戶端電腦 - 這未連接到您的 AD 組策略)
- 站點級策略
- 域級策略
- OU 級別政策
在後 3 個中的每一個中,每個“級別”可以有多個 GPO,它們的順序由系統管理員決定。這稱為“連結順序”,最小的數字最後處理,這意味著策略擁有最終決定權。
OU 策略從“根”開始應用,然後向下應用(如果有意義的話)。
這裡有一些關於這個主題的好讀物:
http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx
至於如何實際處理單個 GPO,這取決於策略本身,但通常,他們有以下三個選項:
- 啟用
- 已禁用
- 未配置
所發生的一切是,最後執行的策略將對最終設置有最終的“發言權”。除了未進行任何更改的“未配置”之外。當您創建新 GPO 時,“未配置”是組策略中所有選項的預設設置。
因此,如果您目前的策略具有“已啟用”設置,則需要創建具有相同設置“已禁用”的 GPO。