我有一个顶级域,有一项策略阻止用户启动应用程序。(我没有权限更改顶级)
有一个 OU(我们称之为 SiteA)。我可以管理我的站点下的任何 GPO。
我怎样才能取代来自顶层的策略?(我需要允许一台计算机运行那些被顶层阻止的应用程序)
答案1
如果 [顶级] 父级 GPO 策略是enforced,那么您无法覆盖该策略,也无法使其他策略设置比父级策略允许的限制更少。如果它们不遵循enforce顶级父级 GPO 中的策略,您可以block inheritance,并且您的策略应该传播并生效。
您可以阻止域或组织单位的继承。阻止继承可防止链接到更高站点、域或组织单位的组策略对象 (GPO) 被子级自动继承。
阻止继承
在组策略管理控制台 (GPMC) 控制台树中,双击包含要阻止 GPO 链接继承的域或组织单位 (OU) 的林,然后执行以下操作之一:
要阻止继承整个域的 GPO 链接,请双击“域”,然后右键单击该域。
要阻止 OU 的继承,请双击
Domains,双击包含该 OU 的域,然后右键单击该 OU。点击
Block Inheritance其他注意事项
要完成此过程,您必须具有域或 OU 的链接 GPO 权限。
如果域或 OU 设置为阻止继承,它将在控制台树中出现蓝色感叹号。
强制执行的 GPO 链接不能被父容器阻止。
资源: https://technet.microsoft.com/en-us/library/cc731076.aspx
屏幕截图
