将 GPO 链接到 OU 或安全组,谁会获胜?

将 GPO 链接到 OU 或安全组,谁会获胜?

场景如下:GPO 链接到 OU 以启用 UAC 设置等。但是,由于某些系统需要禁用 UAC,因此有一个 GPO 可以禁用这些设置。此 GPO 链接到安全组。这些系统是特定安全组的成员,并且仍将放置在具有 UAC“已启用”设置 GPO 的 OU 中。

那么哪个 GPO 是赢家?

根据我的测试,链接到安全组之前的 OU 的 GPO 总是获胜。 这个问题有解决办法吗?

答案1

只要您的 GPO 未链接到任何 OU,它就不会产生任何影响。

对于您来说,您可以执行以下操作:

将 Disabling-GPO 和 Enabling-GPO 链接到同一个 OU。在 Enabling-GPO 委派中,允许 rad/apply 到例如经过身份验证的用户。在 Disbaling-GPO 委派中,仅允许读取/应用到您的安全组。注意链接顺序,因为 Disabling-GPO 需要具有较低的数字(Prescendence)。

对于安全组成员来说,会发生这种情况:将首先应用启用 GPO,然后应用禁用 GPO,从而使设置保持禁用状态。

例如,如果您的设置是“首选项”中的注册表项,那么您也可以使用安全组的项目级目标

答案2

解决方案是强制执行链接的 GPO。它将仅通过 GPO 上的安全组过滤应用于特定安全组中的对象。

相关内容