我正在尝试将多项策略应用到我的域(在 Windows 2008 R2 上运行)。
下面是我如何构建 OU 的示例。
测试 OU
- {基于计算机的政策}
{基于用户的政策}
OU 用户
开放大学计算机系
这些政策是否应该在我应用它们的级别上生效?
我有一个策略影响用户,另一个影响计算机。当我运行 GPResults 时,它显示几个策略未生效,因为它们显示为“空”。我需要在用户/计算机级别应用策略吗?还是应该将其置于测试 OU 级别以进行相应的工作?
答案1
需要注意的是,计算机和用户帐户只能“看到”组策略对象各自的部分。换句话说,当用户帐户登录时,如果它处理的 GPO 仅包含计算机设置,则该 GPO 对用户帐户而言将是“空的”,因为它不包含用户帐户可以看到的任何设置。
除非 GPResult 显示或不显示应该/不应该的策略设置,否则您可以忽略有关 GPO 为空的错误。
答案2
简而言之,当您应用策略时,您必须将其链接到组策略 OU。因此,填充您的 OU 用户和计算机,将策略应用于 OU/链接。(通常在域级别)然后转到测试机器并运行:
gpupdate /force
这会强制计算机重新与组策略同步,以获取已为其 OU 分配的策略。您还必须确保您的链接顺序正确。这可以通过以下方式实现:
Group Policy Management (Administrator enabled) -> yourdomain.ext (Under Forest > Domains) -> Linked Group Policy Objects
设置正确的顺序并在必要时强制执行,但要小心执行,因为它会在 GP 中覆盖很多内容。
PS 还要确保您在分配的策略中确实有一个设置。即阻止控制面板 = 已启用,因为空指的是首先不存在任何东西。
答案3
运行 GPRESULT /H gpresult.html 并查看正在应用哪些策略。查看每个策略的状态并查看其是否已成功应用。
然后检查 GPO 的修订版本。AD 修订版本和 Sysvol 修订版本应该相同。