將 GPO 連結到 OU 或安全組，誰會贏？

場景如下：GPO 連結到 OU 以啟用，例如，UAC 設置。但是，由於某些系統需要禁用 UAC，因此有一個 GPO 可以禁用這些設置。此 GPO 連結到安全組。這些系統是特定安全組的成員，並且仍將放置在具有“啟用”設置 GPO 的 UAC 的 OU 中。

那麼哪個 GPO 是贏家呢？

根據我的測試，在安全組之前連結到 OU 的 GPO 總是獲勝。這個問題有什麼解決辦法嗎？

解決方案是強制執行連結的 GPO。它只會通過 GPO 中的安全組過濾應用於特定安全組中的對象。

只要您的 GPO 未連結到任何 OU，它就不會產生任何影響。

在您的情況下，您可以執行以下操作：

將 Disabling-GPO 和 Enable-GPO 連結到同一個 OU。在 Enabling-GPO 的委派中允許 rad/適用於例如經過身份驗證的使用者。在 Disbaling-GPO 委派中，僅允許讀取/應用於您的安全組。注意連結順序，因為禁用-GPO 需要具有較低的數字（Prescendence）。

對於安全組成員會發生什麼情況：啟用-GPO 將首先應用，然後是禁用-GPO，使設置處於禁用狀態。

例如，如果您的設置是首選項中的系統資料庫項，您還可以使用安全組的項目級別跟踪

引用自：https://serverfault.com/questions/1068338