Group-Policy

GPO - 是否可以在未配置的情況下覆蓋啟用的策略?

  • March 18, 2017

我們請求允許客戶更改某些 OU 中伺服器的防火牆設置。這些 OU 繼承了一些策略,將公共和專用網路配置文件的防火牆設置為關閉。我想知道是否有辦法以某種方式覆蓋它,以便允許他們更改防火牆設置。這樣它就關閉並變灰了。似乎創建一個“未配置”的策略不能作為覆蓋值“啟用”或“禁用”我制定了這樣的測試策略。 在此處輸入圖像描述

但它保持這樣

在此處輸入圖像描述 在這裡,政策的順序似乎無關緊要。我們是否需要更改繼承的策略設置,因為無法用“未配置”覆蓋“關閉”

您可以使用 WMI 篩選器篩選特定 OU 中的電腦。在組策略管理控制台中向下滾動到WMI 過濾器並使用以下參數創建新的 WMI 過濾器:

命名空間:root\RSOP\Computer

詢問:Select * From RSOP_Session Where NOT SOM = 'OU=OrgUnit,DC=Domain,DC=com'

確保將 ‘OU=OrgUnit,DC=Domain,DC=com’ 替換為您的伺服器所在的 OU。

接下來,選擇您的 GPO 並在WMI 過濾下拉列表中選擇您的新過濾器。

這將過濾掉此 GPO,使其無法應用於查詢中指定的 OU 中的伺服器。

注意:如果要過濾掉的伺服器不在同一個OU中,而是在子OU中,則需要修改查詢方式如下,包含所有子OU:

Select * From RSOP_Session Where NOT SOM LIKE '%OU=OrgUnit,DC=Domain,DC=com'

引用自:https://serverfault.com/questions/785033