场景如下:GPO 链接到 OU 以启用 UAC 设置等。但是,由于某些系统需要禁用 UAC,因此有一个 GPO 可以禁用这些设置。此 GPO 链接到安全组。这些系统是特定安全组的成员,并且仍将放置在具有 UAC“已启用”设置 GPO 的 OU 中。
那么哪个 GPO 是赢家?
根据我的测试,链接到安全组之前的 OU 的 GPO 总是获胜。 这个问题有解决办法吗?
答案1
只要您的 GPO 未链接到任何 OU,它就不会产生任何影响。
对于您来说,您可以执行以下操作:
将 Disabling-GPO 和 Enabling-GPO 链接到同一个 OU。在 Enabling-GPO 委派中,允许 rad/apply 到例如经过身份验证的用户。在 Disbaling-GPO 委派中,仅允许读取/应用到您的安全组。注意链接顺序,因为 Disabling-GPO 需要具有较低的数字(Prescendence)。
对于安全组成员来说,会发生这种情况:将首先应用启用 GPO,然后应用禁用 GPO,从而使设置保持禁用状态。
例如,如果您的设置是“首选项”中的注册表项,那么您也可以使用安全组的项目级目标
答案2
解决方案是强制执行链接的 GPO。它将仅通过 GPO 上的安全组过滤应用于特定安全组中的对象。