1. 印象中沒有, 若記錯請指正. 當然, 您可以用 ADUC 圖形介面一個一個去改, 不過樓上提供的指令會更快速. 萬一您看不懂或是不會下 OU 的話, 可以考慮前面串接一個指令:

   <pre class="c" name="code">dsquery user -name Johnson | dsmod user -disabled no -mustchpwd yes

上面的 Johnson 就是 username, 也可以用 * 去搜尋部分字串或全部用戶

2. gpupdate 只是作用在本機上, 他不會去觸發其他的電腦 GPO 更新. 如果您不想等 90 分鐘, 可以用 PowerShell 指令強迫該電腦重開機:

   <pre class="c" name="code">Restart-Computer -computer WIN123764 -force

重開機之後, 登入時就會套用新的 GPO. 但這個方法不一定可靠, 因為 GPO 常常不是只套用一次就 OK, 有時需要重複登出登入多次, 甚至重開機多次, 才能把所有的 GPO 都套用完畢. GPO 的 refresh interval 是可以修改的, 不一定要用預設的 90 分鐘, 請自行上微軟的 support 網站查 KB 即知.

通常 GPO 派下去後, 我們會等一兩天讓他全部生效, 你無法期待它能 100% 立即生效.

3. 這代表 GPO 是要跟著使用者走? 還是跟著電腦走? 若跟著使用者走的話, 不館使用者登入哪一台電腦, 這個 GPO 都會有效; 若跟著電腦走的話, 不管是哪一個使用者登入這台電腦, GPO 都會有效. 要看公司內部是用甚麼政策去管理的, 來決定要用哪一種 GPO. 有的 GPO 必須跟人走才有意義, 這種就不會跑到電腦 GPO 去; 反之亦然.

4, 5. 這要看個人的管理習慣. 我自己是習慣分開設, 因為這樣比較容易查錯, 以及萬一緊急時, 可以立即停用. 如果都設定在一個 GPO 裡面, 有時為了要停掉一個 GPO, 得找個好半天才能找到, 然後更新時, 所有用戶又要下載這個很大的 GPO, 在時效上很花時間. 如果一個 GPO 只存一種, 或是同一類的幾種設定, 那麼改這個 GPO, 用戶要更新的時間就可以變得很短, 也比較容易避免需要重複登入登出的問題.

針對你的主題回答

<pre class="c" name="code">dsmod user "cn=user,ou=mis,ou=company,dc=abc,dc=com,dc=tw" -disabled no -mustchpwd yes