Group-Policy
GPO - 是否可以在未配置的情況下覆蓋啟用的策略?
我們請求允許客戶更改某些 OU 中伺服器的防火牆設置。這些 OU 繼承了一些策略,將公共和專用網路配置文件的防火牆設置為關閉。我想知道是否有辦法以某種方式覆蓋它,以便允許他們更改防火牆設置。這樣它就關閉並變灰了。似乎創建一個“未配置”的策略不能作為覆蓋值“啟用”或“禁用”我制定了這樣的測試策略。
但它保持這樣
您可以使用 WMI 篩選器篩選特定 OU 中的電腦。在組策略管理控制台中向下滾動到WMI 過濾器並使用以下參數創建新的 WMI 過濾器:
命名空間:
root\RSOP\Computer
詢問:
Select * From RSOP_Session Where NOT SOM = 'OU=OrgUnit,DC=Domain,DC=com'
確保將 ‘OU=OrgUnit,DC=Domain,DC=com’ 替換為您的伺服器所在的 OU。
接下來,選擇您的 GPO 並在WMI 過濾下拉列表中選擇您的新過濾器。
這將過濾掉此 GPO,使其無法應用於查詢中指定的 OU 中的伺服器。
注意:如果要過濾掉的伺服器不在同一個OU中,而是在子OU中,則需要修改查詢方式如下,包含所有子OU:
Select * From RSOP_Session Where NOT SOM LIKE '%OU=OrgUnit,DC=Domain,DC=com'