因此,今天,我将仔细检查并清理/整合我们的 GPO,并将一些 GPO 从二级 OU 移至域级。这些(用户)策略用于阻止/允许访问命令提示符。默认情况下,所有用户都被禁止使用命令提示符。然后可以将用户添加到有权运行第二个(优先级更高)GPO 的安全组以将其重新启用。
当 GPO 处于第二级时,它们可以正常工作。但是一旦我将它们移动到域级别,所有用户(包括应该有访问权限的用户)都无法使用命令提示符。
我们的 GPO 隔离得很好,我确认没有冲突的 GPO。链接顺序和策略继承优先级已验证。组策略结果显示两个策略都适用于相应的用户,但命令提示符访问仍然被阻止。将 GPO 移回原位...一切又恢复正常了?
发生了什么?域级别是否存在特殊情况导致此行为?
答案1
当涉及到管理模板组策略设置时,域的根与子 OU 相比没有什么特殊之处(密码策略对其进行特殊处理,但这不是您所说的)。
我不知道您说的“冲突的 GPO”是什么意思。GPO 不会“冲突”。它们会按照指定的顺序应用,并且最后应用的设置是“采用”的设置。不存在“冲突”,也不存在“冲突解决”协议。
检查两种“类型”用户的输出,gpresult /z这些用户的政策链接方式与您希望的和原来的一致。您应该能够在比较这些输出时找到问题的原因。我的直觉告诉我,您的链接顺序与您想要的顺序不符。
微软并没有在组策略管理控制台中轻易地告诉人们 GPO 的应用顺序。在我看来,在 W2K3 / WK2“黄金”版本中,查看 GPO 的应用顺序要容易得多。