如果有一个应用于所有域计算机的禁用某些GPO的GPO,有没有办法为该域中的某些主机重新启用禁用的东西,而不将这些主机从默认的域计算机组中取出?
换句话说,另一个GPO可以将禁用的function重新启用,并将其应用于其子计算机仍然是域计算机成员的子OU。 如果是这样的话,那么在域的层次结构中究竟应该如何创buildOU,以及如何应用这两个GPO呢?
是的,这绝对是组策略层次结构的基础。 组策略按以下顺序应用:
在后面的每一个3中,每个“级别”可以有多个GPO,它们的顺序由系统pipe理员决定。 这就是所谓的“链接顺序”,最后一个是最后一个,这意味着政策有最后的决定权。
OU政策从“根”开始应用,然后向下,如果这是有道理的。
这里有一些关于这个问题的很好的阅读:
http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx
至于实际上对个人GPO做些什么,这种依赖于政策本身,但一般来说,他们有以下三种select:
而所发生的一切就是,最后执行的政策将会对最终的决定有最终的“发言权”。 除了“未configuration”,不做任何更改。 当您创build新的GPO时,“未configuration”是组策略中所有选项的默认值。
因此,如果您当前的策略设置为“启用”,则需要创build一个具有相同设置“禁用”的GPO。
除了已发布的答案之外,还可以将GPO链接到域(而不是创buildOU并将计算机对象移动到此OU并将您的GPO链接到此OU),并使用安全筛选过滤GPO,以便它仅适用于所需的电脑。 您只需要将此GPO的链接顺序设置为高于其他GPO(禁用该设置的那个)。
我build议为受影响的计算机创build一个组,将计算机对象添加到该组中,创build并链接您的GPO,设置GPO的链接顺序,并将此GPO的安全筛选configuration为仅应用于为这些组创build的组电脑。
是的,按照LSDO顺序(本地,站点,域,组织单元),组策略的应用顺序取决于它们在Active Directory结构中的位置。
因此,如果您的域计算机策略是在域级别应用的,则可以在包含要覆盖设置的主机的OU级别应用其他策略。 OU级策略将覆盖任何重复的设置。