我知道 GPO 冲突是从下到上解决的,所以如果两个策略做同样的事情,那么只有一个会被应用。
现在,如果我想使用 GPO 映射驱动器,那么 3 个驱动器 (E:、F:、G:) 将为所有员工映射,而另一个驱动器 (H:) 仅为管理员映射。我可以使用 GPO 为所有人映射 3 个驱动器,然后使用另一个 GPO 为管理员映射另一个驱动器吗?或者这被视为冲突,并且只会应用两个 GPO 中的一个?
答案1
简短的回答是可以的,您可以按照要求做。如果 GPO 映射不同的驱动器,则不会发生冲突。我们遇到的情况正是如此。
答案2
没必要那么复杂。您可以使用单个 GPO,并使用组策略首选项和项目级定位定义所有映射驱动器。
答案3
根据您的 OU 结构,有几种解决方案。
例如如果你有:
-用户
|-管理员
其中 Admins 是 Users OU 包含的 OU。
您可以将用户 GPO 应用于用户 OU,将管理员 GPO 应用于管理员 OU。
这样,通过继承,用户 GPO 也将应用于管理员 OU,但管理员 GPO 不会应用于用户 OU,因为它处于较低级别。
另一种方式是如果您在同一个 OU 上同时拥有用户和管理员。
您可以将两个 GPO 应用于此 OU,但使用管理 GPO 上的设置按组或特定用户过滤应用程序,反之亦然。