Tom Asked: 2021-07-02 00:12:31 +0800 CST2021-07-02 00:12:31 +0800 CST 2021-07-02 00:12:31 +0800 CST 将 GPO 链接到 OU 或安全组,谁会赢? 772 场景如下:GPO 链接到 OU 以启用,例如,UAC 设置。但是,由于某些系统需要禁用 UAC,因此有一个 GPO 可以禁用这些设置。此 GPO 链接到安全组。这些系统是特定安全组的成员,并且仍将放置在具有“启用”设置 GPO 的 UAC 的 OU 中。 那么哪个 GPO 是赢家呢? 根据我的测试,在安全组之前链接到 OU 的 GPO 总是获胜。这个问题有什么解决办法吗? group-policy active-directory security-groups organizational-unit 2 个回答 Voted Manu 2021-07-02T05:55:02+08:002021-07-02T05:55:02+08:00 只要您的 GPO 未链接到任何 OU,它就不会产生任何影响。 在您的情况下,您可以执行以下操作: 将 Disabling-GPO 和 Enable-GPO 链接到同一个 OU。在 Enabling-GPO 的委派中允许 rad/适用于例如经过身份验证的用户。在 Disbaling-GPO 委派中,仅允许读取/应用于您的安全组。注意链接顺序,因为禁用-GPO 需要具有较低的数字(Prescendence)。 对于安全组成员会发生什么情况:启用-GPO 将首先应用,然后是禁用-GPO,使设置处于禁用状态。 例如,如果您的设置是首选项中的注册表项,您还可以使用安全组的项目级别跟踪 Best Answer Tom 2021-07-23T01:09:51+08:002021-07-23T01:09:51+08:00 解决方案是强制执行链接的 GPO。它只会通过 GPO 中的安全组过滤应用于特定安全组中的对象。
只要您的 GPO 未链接到任何 OU,它就不会产生任何影响。
在您的情况下,您可以执行以下操作:
将 Disabling-GPO 和 Enable-GPO 链接到同一个 OU。在 Enabling-GPO 的委派中允许 rad/适用于例如经过身份验证的用户。在 Disbaling-GPO 委派中,仅允许读取/应用于您的安全组。注意链接顺序,因为禁用-GPO 需要具有较低的数字(Prescendence)。
对于安全组成员会发生什么情况:启用-GPO 将首先应用,然后是禁用-GPO,使设置处于禁用状态。
例如,如果您的设置是首选项中的注册表项,您还可以使用安全组的项目级别跟踪
解决方案是强制执行链接的 GPO。它只会通过 GPO 中的安全组过滤应用于特定安全组中的对象。