所以今天,我正在清理/整合我们的GPO,并将一对夫妇从二级OU转移到域名级别。 这些(用户)策略用于阻止/允许访问命令提示符。 默认情况下,所有用户都被阻止使用命令提示符。 然后可以将用户添加到具有运行第二个(更高优先级)GPO的权限的安全组,以重新打开它。
当GPO处于第二级时,它们按预期工作。 但是,一旦我将它们移动到域级别,所有用户都将被禁止使用命令提示符来包含应该访问的权限。
我们的GPO分离得很好,我确认没有相互冲突的GPO。 链接顺序和策略inheritance优先权已被validation。 组策略结果显示两个策略适用于适当的用户,但命令提示符访问仍然被阻止。 将GPO移回原位并再次运作?
是什么赋予了? 在领域层面有什么特别的东西会导致这种行为?
当涉及到pipe理模板组策略设置(密码策略专门处理它,但这不是你正在谈论的)时,与子OU相比,域的根没有什么特别之处。
我不知道“冲突的GPO”是什么意思。 GPO不会“冲突”。 它们以指定的顺序应用,最后一个设置是“取得”。 没有“冲突”,也没有“冲突解决”协议。
检查一个gpresult /z的输出,对于这两种“types”的用户来说,只要你喜欢他们,就像他们一样。 在比较这些输出时,应该能够find问题的原因。 我的直觉告诉你,你的链接顺序错了,你想要什么。
Microsoft在组策略pipe理控制台中告诉我们GPO应用的顺序并不容易。在W2K3 / WK2“黄金”版本中,我认为,看看GPO的顺序是什么要施加。