我有一个 OU,其中包括继承,其中应用了四个 GPO。其中包括在域级别链接的默认域策略、两个针对 SOE 的通用设置策略,以及最后一个链接到包含相关计算机的 OU 的 GPO。
最后一个 GPO 包含一些设置,这些设置会覆盖标准 SOE GPO 中包含的设置;也就是说,我们的标准是启用屏幕保护程序、要求 UN/PW 解锁并在 300 秒后自动启动。此 OU 中的工作站要求永久禁用屏幕保护程序。
查看继承,禁用屏幕保护程序的 GPO 的优先级为 1。但是,屏幕保护程序仍在运行。当我运行结果向导时,我看到这些设置正在应用,获胜的 GPO 是 SOE GPO 之一,链接在父 OU 上,在继承中显示较低的优先级。这些 GPO 均未强制执行,没有链接或 GPO 被禁用(实际上,此 GPO 中的其他设置正在成功应用)。
我该如何开始排除故障?我没有看到任何错误,一切都正常。
更新:抱歉,本来应该提到这一点。这些设置应用于计算机的 OU,而不是用户,并且它们确实启用了环回处理。原因是这些工作站不能打开屏幕保护程序,无论谁登录。这同样适用于其他地方的工作站;我们不能将这些设置应用于用户 OU,因为哪个用户登录并不重要,工作站的位置才是重要的(例如公共区域、安全区域、关键取决于是否打开屏幕保护程序的区域)。
更新2:两个 GPO 上的环回模式均设置为合并。这是必需的,因为我们需要将其他 GPO 应用于用户 OU。
答案1
屏幕保护程序策略是用户设置,而您提到 GPO 链接到计算机所在的 OU - 该 GPO 的用户树中的 GPO 设置不适用。
您需要启用环回处理才能获得所需的结果,但启用时要小心 - 它会导致针对计算机的 OU 第二次运行用户策略处理,并且这些设置优先于适用于用户 OU 的设置(或者如果您在环回替换模式下运行,则完全取代它们)。
答案2
我能找到的唯一屏幕保护程序 GPO 设置是在“用户配置”下,而不是“计算机配置”,在这种情况下,GPO 需要链接到用户 OU,而不是计算机 OU,除非您在计算机 OU GPO 中使用环回策略处理(计算机设置适用于计算机,用户设置适用于属于 GPO 管理范围内的用户,除非您使用环回策略处理使在链接到计算机 OU 的 GPO 中配置的用户设置适用于登录到这些计算机的用户)。
由于 GP 设置应用于 GPO 管理范围内的对象,因此我的假设是设置屏幕保护程序设置的 GPO 链接到域,因此设置由域链接的 GPO 应用,而不是计算机 OU 链接的 GPO,因为那不是用户对象存在的地方。
答案3
奥卡姆剃刀。事实证明,尽管用户声称并非如此,但实际上他们并没有在晚上重启或关闭工作站。一旦完成这些操作,组策略便可以更新,一切正常。