Active-Directory
將 GPO 連結到 OU 或安全組,誰會贏?
場景如下:GPO 連結到 OU 以啟用,例如,UAC 設置。但是,由於某些系統需要禁用 UAC,因此有一個 GPO 可以禁用這些設置。此 GPO 連結到安全組。這些系統是特定安全組的成員,並且仍將放置在具有“啟用”設置 GPO 的 UAC 的 OU 中。
那麼哪個 GPO 是贏家呢?
根據我的測試,在安全組之前連結到 OU 的 GPO 總是獲勝。這個問題有什麼解決辦法嗎?
解決方案是強制執行連結的 GPO。它只會通過 GPO 中的安全組過濾應用於特定安全組中的對象。
只要您的 GPO 未連結到任何 OU,它就不會產生任何影響。
在您的情況下,您可以執行以下操作:
將 Disabling-GPO 和 Enable-GPO 連結到同一個 OU。在 Enabling-GPO 的委派中允許 rad/適用於例如經過身份驗證的使用者。在 Disbaling-GPO 委派中,僅允許讀取/應用於您的安全組。注意連結順序,因為禁用-GPO 需要具有較低的數字(Prescendence)。
對於安全組成員會發生什麼情況:啟用-GPO 將首先應用,然後是禁用-GPO,使設置處於禁用狀態。
例如,如果您的設置是首選項中的系統資料庫項,您還可以使用安全組的項目級別跟踪