如果有一个应用于所有域计算机的 GPO 禁用了某些功能,那么有没有办法为域中的某些主机重新启用已禁用的功能,而无需将这些主机从默认域计算机组中移除?
换句话说,是否可以将另一个 GPO(重新启用已禁用的功能)应用于其成员计算机仍为域计算机成员的子集 OU?如果可以,该 OU 应位于域层次结构中的哪个位置,以及应如何应用这两个 GPO?
答案1
是的,这是组策略层次结构的基础。组策略按以下顺序应用:
- 本地组策略(基于客户端计算机 - 这与您的 AD 组策略无关)
- 网站级别政策
- 域级别策略
- OU 级别政策
在后三个级别中,每个“级别”可以有多个 GPO,它们的顺序由系统管理员决定。这称为“链接顺序”,编号最小的 GPO 最后处理,这意味着策略拥有最终决定权。
如果有意义的话,OU 策略将从“根”开始应用,然后向下应用。
以下是一些关于这个主题的好读物:
http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx
至于如何处理单个 GPO,这取决于政策本身,但一般来说,他们有以下三种选择:
- 已启用
- 已禁用
- 未配置
而所有发生的情况是,最后执行的策略将对最终设置拥有最终“决定权”。除了“未配置”之外,未进行任何更改。当您创建新的 GPO 时,“未配置”是组策略中所有选项的默认设置。
因此,如果您当前的策略具有“启用”设置,则需要创建具有相同设置“禁用”的 GPO。
答案2
除了已经发布的答案之外,您还可以将 GPO 链接到域(而不是创建 OU 并将计算机对象移动到此 OU 并将您的 GPO 链接到此 OU),并使用安全筛选来筛选 GPO,以便它仅适用于所需的计算机。您只需将此 GPO 的链接顺序设置为高于其他 GPO(禁用该设置的 GPO)。
我建议为受影响的计算机创建一个组,将计算机对象添加到该组,创建并链接您的 GPO,设置 GPO 的链接顺序,并为此 GPO 配置安全过滤以仅适用于您为这些计算机创建的组。
答案3
是的,组策略的应用顺序取决于它们在 Active Directory 结构中的位置,遵循 LSDO 顺序(本地、站点、域、组织单位)。
因此,如果您的域计算机策略是在域级别应用的,则可以在 OU 级别应用另一个策略,该策略包含要覆盖其设置的主机。OU 级别策略将覆盖任何重复的设置。