Windows-Server-2008
即使強制執行自定義 GPO,預設域策略也會覆蓋自定義 GPO
我正在嘗試將自定義 GPO 應用到其中包含特定帳戶的 OU。即使我強制執行 GPO,預設域策略仍會覆蓋我的自定義 GPO,並且設置不會應用於帳戶。
問題:
- 預設域策略是否不受強制執行?
- 如何獲得自定義 GPO 以覆蓋預設域策略?
訣竅是在有問題的子 OU 的直接父 OU 上“阻止繼承”。
- 右鍵點擊要將自定義 GPO 應用到的 ou 的父 ou,然後點擊“阻止繼承”
- 將您的自定義 GPO 應用到您剛剛阻止繼承的父 OU 下的子 OU
- 在(域控制器)CMD 提示符下,鍵入:gpupdate/force
- 執行 GPO 建模以確認正在應用自定義 GPO 設置
這對我們有用。唯一需要注意的是,當您阻止 OU 上的繼承時,您會阻止該 OU 之上的所有 GPO 通過繼承傳播其設置,這意味著如果您依賴架構中更高級別的 GPO 進行設置,則需要確認它們仍被應用於您阻止繼承的 OU 下的子 OU,因為您可能需要在應用於子 OU 的自定義 GPO 上複製這些設置。
優先級取決於 GPO 在列表中的位置。
您可以嘗試做的是選擇您創建的自定義組策略對象並將其移動到預設域策略之上。這將確保您的自定義策略優先且不會被預設域策略覆蓋。