環境說明:
1.gpo設定共有GPO_A、GPO_B及Default Domain Policy三種
2.OU只有建一組test_OU(裡面有使用者帳號)
上面3種群組原則在網域設定後,使用者登入後都會去調整本機原則(正常)
目前遇到的神奇問題如下:
只要是設在OU的群組原則,雖然使用都登入後使用gpresult /r指令查看
顯示都正常套用了
也未被列入 WMI 篩選器所排除
但實際用指令gredit查看發現,PC的設定值並沒有依據所套用的群組原則變化
即使在OU上設定禁止繼承及強制
但是依然是沒有用
想請教板上高手這究竟是為什麼會這樣
該如何解決這很靈異的問題
謝謝
已邀請的邦友 {{ invite_list.length }}/5
john1230提到:
gpo設定共有GPO_A、GPO_B及Default Domain Policy三種
這三個的順序是 1.Default Domain Policy 2. GPO_A或GPO_B
所以,gpo套用完會以 GPO_A、GPO_B 的設定為準,請檢查一下 GPO_A、GPO_B 請檢查一下 與 Default Domain Policy 的設定是否有衝突?
gpo 的設定除了還蓋整個domain的項目外,儘量是以 ou 為主來設定,以免因後套用的 policy 衝突而被覆蓋掉...
針對test_OU來設定GPO_A或GPO_B,此原則會套用到該OU內的所有電腦與使用者。
由於test_OU會繼承從Default Domain Policy,因此text_OU最後的有效設定是Default Domain Policy和 GPO_A或GPO_B。
※但如果Default Domain Policy和 GPO_A或GPO_B有衝突的話,預設是以GPO_A或GPO_B
為優先。
john1230提到:
小弟爬文看到的也是以OU為優先
目前的問題是在OU上連結的Policy都沒有實際效果
有執行gpupdate /force指令、重新登入及重開機等動作
查看Client端也確實套用了
但在gpedit裡看到的值卻不會套用Policy設定
Orz....
您好~~
請問本機群組原則有設定嗎?GPO由上至下套用,最後會以若有相衝突的設定會以OU為主,但是若本機群組原則也有設定相同的地方也會被蓋掉,且有些GPO設定是套用在電腦物件才會生效您可能要檢查看看。
roylee提到:
GPO由上至下套用,最後會以若有相衝突的設定會以OU為主,但是若本機群組原則也有設定相同的地方也會被蓋掉
這段話我覺得怪怪的... GPO的套用順序中,LOCAL(本機) 是第一個被套用的,再來是 DOMAIN > SITE > OU,若這四種 GPO 中有項目衝突發生,會以最後套用的為準,除非 OU 的部分是"未設定",再來是看 SITE 的設定,依此類推,LOCAL 的設定項目只要與後三者衝突就被後者套用時 '覆蓋' 掉,不可能用 LOCAL 的設定把後套用的蓋掉,除非 MS 變更規則了!
以上,提供參考,有錯歡迎指正,
剛看了一看,gpedit所能查看的,部分例如password policy,會根據ad上的gp改變,而shut script這種就沒有,ie的homepage之類也沒有,而實際上是已經套用了。
我猜是因為這些設定是可以local與ad不同的(當然實際會以ad gp為優先),而password policy是必須一致的(我們還是2003)。
,謝謝大大糾正,是我記錯了,抱歉誤導大家~~
iThome鐵人賽
看影片追技術