Edg*_*rra 4 windows-server-2008 active-directory
假设我有两个 OU,一个用于存储计算机对象,另一个用于存储用户帐户。如果我在“计算机”OU 中创建 GPO,并设置用户配置,它们会生效吗?
我是否必须在用户帐户 OU 中实际创建 GPO 并为其设置用户配置才能工作?
“计算机配置”设置只适用于OU中的计算机,“用户配置”设置仅适用于OU中的用户帐户吗?
假设我有两个 OU,一个用于存储计算机对象,另一个用于存储用户帐户。如果我在“计算机”OU 中创建 GPO,并设置用户配置,它们会生效吗?
不。我的意思是,除非您将用户帐户对象存储在名为 Computers 的 OU 中,这很奇怪……
GPO 的用户设置只会影响驻留在该 GPO 链接范围内的 OU 中的用户帐户。
计算机设置只会影响驻留在 GPO 链接范围内的 OU 中的计算机帐户。
如果您希望优化 GPO 处理,您可以关闭 GPO 的计算机设置或用户设置部分……但我不经常看到这种做法。
你可以这样做:
Toronto (OU)
|
+- Users (OU)
|
+- Computers (OU)
在多伦多 OU,您可以链接包含用户和计算机设置的 GPO,这些设置旨在应用于多伦多的所有用户和计算机对象。然后,您可以将一个 GPO 链接到仅包含用户设置的用户 OU,并将另一个 GPO 链接到仅包含计算机设置的计算机 OU。(当然,假设您在用户 OU 中仅存储用户帐户对象,在计算机 OU 中仅存储计算机帐户对象。)
这当然只是一个例子。还有一百种其他方法可以设计您的组策略和 OU 布局。
编辑:Greg Askew 提出了一个很好的观点(谢谢),那就是您现在可能想了解组策略回顾处理。微软简单说明:
您可以使用组策略环回功能来应用仅取决于用户登录的计算机的组策略对象 (GPO)。... 此策略指示系统将计算机的 GPO 集应用于登录到受此策略影响的计算机的任何用户。此策略适用于必须根据正在使用的计算机修改用户策略的特殊用途计算机。例如,公共区域、实验室和教室中的计算机。
| 归档时间: |
|
| 查看次数: |
29449 次 |
| 最近记录: |