GPO - 是否可以在未配置的情況下覆蓋啟用的策略？

我們請求允許客戶更改某些 OU 中伺服器的防火牆設置。這些 OU 繼承了一些策略，將公共和專用網路配置文件的防火牆設置為關閉。我想知道是否有辦法以某種方式覆蓋它，以便允許他們更改防火牆設置。這樣它就關閉並變灰了。似乎創建一個“未配置”的策略不能作為覆蓋值“啟用”或“禁用”我制定了這樣的測試策略。

但它保持這樣

在這裡，政策的順序似乎無關緊要。我們是否需要更改繼承的策略設置，因為無法用“未配置”覆蓋“關閉”

您可以使用 WMI 篩選器篩選特定 OU 中的電腦。在組策略管理控制台中向下滾動到WMI 過濾器並使用以下參數創建新的 WMI 過濾器：

命名空間：root\RSOP\Computer

詢問：Select * From RSOP_Session Where NOT SOM = 'OU=OrgUnit,DC=Domain,DC=com'

確保將 ‘OU=OrgUnit,DC=Domain,DC=com’ 替換為您的伺服器所在的 OU。

接下來，選擇您的 GPO 並在WMI 過濾下拉列表中選擇您的新過濾器。

這將過濾掉此 GPO，使其無法應用於查詢中指定的 OU 中的伺服器。

注意：如果要過濾掉的伺服器不在同一個OU中，而是在子OU中，則需要修改查詢方式如下，包含所有子OU：

Select * From RSOP_Session Where NOT SOM LIKE '%OU=OrgUnit,DC=Domain,DC=com'

引用自：https://serverfault.com/questions/785033