在此示例中,我有 2 个不同的 GPO,一个直接位于域 (全局 GPO) 下,另一个埋藏在用户 OU (自定义 GPO) 中。
在我的全局 GPO 中,我已将“局域网 (LAN) 设置”设置为是。此设置位于用户配置 - 首选项 - 控制面板设置 - Internet 设置 - Internet Explorer 10:Internet Explorer 10 - 连接下。
这个设置工作正常。
现在,在我的自定义 GPO 中,我已将“局域网 (LAN) 设置”设置为否,并且它不会覆盖我的全局 GPO。我甚至尝试将其设置为强制,但什么也没改变。
当我在受自定义 GPO 影响的用户上输入 gpresult 时,它显示该 GPO 已应用,但它显示全局 GPO 为获胜 GPO。
我是否遗漏了什么?
答案1
我将建立一个拒绝组,以拒绝全球 GPO。
答案2
根文件夹中的 GPO 最后执行。任何其他 OU 下级别更高的 GPO 均会首先应用。
您的 GPO 按预期工作,它对您的设置应用“否”,而最后一个应用“是”。
在域范围的 GPO 中,您有正确的解决方案将其绑定到一个组以拒绝其应用。您也可以制作 WMI 过滤器。您可以将全局 GPO 移动到您的用户 OU(您的其他 GPO 所在的位置),并更改执行顺序。