假设我有两个 OU,一个用于存储计算机对象,另一个用于存储用户帐户。如果我在“计算机”OU 中创建 GPO,并设置用户配置,它们会生效吗?
我是否必须在用户帐户 OU 中实际创建 GPO 并设置用户配置才能使其正常工作?
“计算机配置”设置是否仅适用于 OU 中的计算机,而“用户配置”设置是否仅适用于 OU 中的用户帐户?
答案1
假设我有两个 OU,一个用于存储计算机对象,另一个用于存储用户帐户。如果我在“计算机”OU 中创建 GPO,并设置用户配置,它们会生效吗?
不。我的意思是,除非您将用户帐户对象存储在名为“计算机”的 OU 中,这很奇怪……
GPO 的用户设置只会影响位于该 GPO 链接范围内的 OU 中的用户帐户。
计算机设置只会影响位于该 GPO 链接范围内的 OU 中的计算机帐户。
如果您希望优化 GPO 处理,您可以关闭 GPO 的计算机设置或用户设置部分...但我并不经常看到这种做法。
你可以做类似的事情:
Toronto (OU)
|
+- Users (OU)
|
+- Computers (OU)
在多伦多 OU,您可以链接一个包含用户和计算机设置的 GPO,这些设置旨在应用于所有用户和多伦多的计算机对象。然后,您可以将一个 GPO 链接到仅包含用户设置的用户 OU,将另一个 GPO 链接到仅包含计算机设置的计算机 OU。(当然,假设您只在用户 OU 中存储用户帐户对象,在计算机 OU 中只存储计算机帐户对象。)
当然这只是一个例子。还有上百种其他方法来设计您的组策略和 OU 布局。
编辑:Greg Askew 提出了一个很好的观点(谢谢),那就是您现在可能想了解组策略回顾处理。简单地说微软:
您可以使用组策略环回功能来应用仅取决于用户登录到哪台计算机的组策略对象 (GPO)。... 此策略指示系统将计算机的 GPO 集应用于登录到受此策略影响的计算机的任何用户。此策略适用于特殊用途的计算机,您必须根据正在使用的计算机修改用户策略。例如,公共区域、实验室和教室中的计算机。