par*_*oid 5 active-directory group-policy organizational-unit
如果有一个 GPO 应用于所有禁用某些内容的域计算机,是否有办法为域中的某些主机重新启用禁用的内容,而无需将这些主机从默认域计算机组中删除?
换句话说,是否可以将另一个重新启用已禁用功能的 GPO 应用于子 OU,其成员计算机仍然是域计算机的成员?如果是这样,那么应该在域层次结构中的哪个位置创建该 OU,以及应该如何应用这两个 GPO?
Dan*_*Dan 10
是的,绝对,这是组策略层次结构的基础。组策略按以下顺序应用:
在后 3 个中的每一个中,每个“级别”可以有多个 GPO,它们的顺序由系统管理员决定。这称为“链接顺序”,最低的数字最后处理,这意味着政策说了算。
OU 策略从“根”开始应用,然后向下应用(如果有意义的话)。
这里有一些关于这个主题的好读物:
http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx
至于实际如何处理单个 GPO,这取决于政策本身,但通常,他们有以下三种选择:
所发生的一切是,要执行的最后一项政策将对最终设置的内容拥有最终“发言权”。除了“未配置”没有进行任何更改。创建新 GPO 时,“未配置”是组策略中所有选项的默认设置。
因此,如果您当前的策略设置为“已启用”,则您需要创建一个具有相同设置“已禁用”的 GPO。
除了已经发布的答案之外,您还可以将 GPO 链接到域(而不是创建 OU 并将计算机对象移动到此 OU 并将 GPO 链接到此 OU)并使用安全过滤来过滤 GPO,以便它仅适用于所需的计算机。您只需将此 GPO 的链接顺序设置为高于其他 GPO(禁用该设置的 GPO)即可。
我建议为受影响的计算机创建一个组,将计算机对象添加到该组,创建并链接您的 GPO,设置 GPO 的链接顺序,并为此 GPO 配置安全筛选以仅应用于您为这些计算机创建的组电脑。
| 归档时间: |
|
| 查看次数: |
53114 次 |
| 最近记录: |