我们的环境由 2003 Active Directory 组成,其中 XP 和 Windows 7 客户端的比例约为 50%。我们的安全策略规定,默认情况下,每个人的桌面应在 2 小时后锁定以启用屏幕保护程序。对于选定的用户,该策略规定他们的桌面应在不活动 15 分钟后锁定。
我们已通过创建 GPO 并将其链接到组织 OU 来应用 2 小时策略。这对所有客户端都适用。安全过滤已将 GPO 应用于所有经过身份验证的用户。
对于 15 分钟屏幕保护程序锁定,我们有相同的 GPO 并将其链接到域,但这次通过安全过滤,我们仅将其应用于特定的安全组。此 GPO 无法正常工作。
我们目前还不知道如何实现或修复屏幕保护程序锁定的 15 分钟 GPO。
答案1
组策略处理顺序如下:
LSDOU = 本地、站点、域、组织单位
即使使用安全过滤,域链接 GPO 中的 GPO 设置也会被 OU 链接的 GPO 覆盖。要解决这个问题,您可以将 15 分钟 GPO 链接到具有较低链接顺序的 OU,或者您可以将域级别的 GPO 设置为强制执行。