我想在特定服务器上强制执行本地 GPO 设置,以便域 GPO 不会覆盖它们。这些系统经过了专门强化,但由于问题太多,无法一一列举,我们目前无法更改它们所在的 OU,也无法更改域 GPO。
有什么方法可以确保对本地 GPO 所做的更改不会被覆盖?
答案1
是的,您可以在域 GPO 中设置策略并强制执行。然后使用 GPO 屏蔽 - 将所有相关服务器添加到一个组,并仅允许该组对新 GPO 进行读取访问。
假设它们都是计算机设置,如果您需要应用用户设置,您可能需要考虑使用环回。
答案2
- 在 AD 中创建新组
- 将这些服务器添加到新创建的组
- 在域 GPO 的安全选项卡中,将新创建的组的读取权限设置为“拒绝”