我正在尝试将自定义 GPO 应用于包含特定帐户的 OU。即使我强制执行 GPO,默认域策略仍会覆盖我的自定义 GPO,并且设置不会应用于该帐户。
问题:
- 默认域策略不受强制执行吗?
- 如何获取自定义 GPO 来覆盖默认域策略?
答案1
优先级取决于 GPO 在列表中的位置。
您可以尝试选择您创建的自定义组策略对象并将其移至默认域策略之上。这将确保您的自定义策略优先,并且不会被默认域策略覆盖。
答案2
诀窍是对相关子 OU 的直属父 OU 进行“阻止继承”。
- 右键单击要应用自定义 GPO 的 OU 的父 OU,然后单击“阻止继承”
- 将自定义 GPO 应用于刚刚阻止继承的父 OU 下的子 OU
- 从(域控制器)CMD 提示符下,键入:gpupdate/force
- 运行 GPO 建模以确认正在应用自定义 GPO 设置
这对我们来说很有效。唯一需要注意的是,当您阻止 OU 上的继承时,您会阻止该 OU 上的所有 GPO 通过继承传播其设置,这意味着如果您依赖架构中更高级别的 GPO 进行设置,则需要确认它们仍应用于您阻止继承的 OU 下的子 OU,因为您可能需要在应用于子 OU 的自定义 GPO 上复制这些设置。