通过“gpedit”本地应用的组策略配置是否会覆盖域 GPO,直到下一个 GPO 刷新间隔?

tag-icon tag-icon windows active-directory domain
通过“gpedit”本地应用的组策略配置是否会覆盖域 GPO,直到下一个 GPO 刷新间隔?

gpedit通过覆盖域 GPO本地应用的组策略配置是否会在下一个 GPO 刷新间隔之前?

我知道域 GPO 优先于本地定义的 GPO(gpedit),因为当用户登录时,这两者都会应用。

但是,本地策略更改是否会gpedit覆盖域 GPO 直到下次刷新为止?

刷新率通过组策略控制:

Computer Configuration > Administrative Templates > System > Group Policy: Turn off background refresh of Group Policy

此外,是否可以永久禁用 GPO 的自动刷新?我只能找到一个禁用它的设置,直到用户注销。

答案1

简短的回答是“不”。原因在于组策略优先顺序有效。本地策略具有最低优先级,因此将被稍后应用的域策略中配置的任何设置覆盖。

尽管如此,任何拥有本地管理员权限的人都可以通过注册表覆盖单个组策略设置。每次处理策略时,设置都会被恢复,但损害已经造成。这就是为什么你必须限制向谁授予本地管理员权限,并审核对注册表关键区域的更改。非管理员用户甚至有可能覆盖用户策略设置

虽然可以禁用域 GPO 处理,但我不会推荐或在此讨论它。这会使域计算机处于不健康状态,并且极其不负责任。域策略的任何问题都应在域级别处理。

答案2

不可以,因为如果设置由组策略管理,则无法在本地策略中配置它。

相关内容