iT邦幫忙

0

OU的群組原則設定連結後client也套用了,但電腦及使用者設定都沒變群組原則中的值

環境說明:
1.gpo設定共有GPO_A、GPO_B及Default Domain Policy三種
2.OU只有建一組test_OU(裡面有使用者帳號)
上面3種群組原則在網域設定後,使用者登入後都會去調整本機原則(正常)
目前遇到的神奇問題如下:
只要是設在OU的群組原則,雖然使用都登入後使用gpresult /r指令查看
顯示都正常套用了
也未被列入 WMI 篩選器所排除
但實際用指令gredit查看發現,PC的設定值並沒有依據所套用的群組原則變化
即使在OU上設定禁止繼承及強制
但是依然是沒有用
想請教板上高手這究竟是為什麼會這樣
該如何解決這很靈異的問題
謝謝

6
花輪
iT邦大師 1 級 ‧ 2013-10-07 11:05:49

john1230提到:
gpo設定共有GPO_A、GPO_B及Default Domain Policy三種

這三個的順序是 1.Default Domain Policy 2. GPO_A或GPO_B
所以,gpo套用完會以 GPO_A、GPO_B 的設定為準,請檢查一下 GPO_A、GPO_B 請檢查一下 與 Default Domain Policy 的設定是否有衝突?

gpo 的設定除了還蓋整個domain的項目外,儘量是以 ou 為主來設定,以免因後套用的 policy 衝突而被覆蓋掉...

john1230 iT邦新手 5 級 ‧ 2013-10-10 16:08:59 檢舉

其實我也是想以OU為主來設定Policy
但奇怪的是如果我在OU上套用任何的Policy(在Domain或site都沒連結任何Policy情形下)
無論是Default Domain Policy 、GPO_A或GPO_B
它都不會有效果(有用gpresult /R確認有套用了)
這樣就導致整個site及網域無法依各別ou設定不同的Policy
請問我應該如何是好
BTW 我的AD Server是2012, Client為Win7 SP1

4
shuan0114
iT邦好手 1 級 ‧ 2013-10-08 09:31:53

針對test_OU來設定GPO_A或GPO_B,此原則會套用到該OU內的所有電腦與使用者。
由於test_OU會繼承從Default Domain Policy,因此text_OU最後的有效設定是Default Domain Policy和 GPO_A或GPO_B。
※但如果Default Domain Policy和 GPO_A或GPO_B有衝突的話,預設是以GPO_A或GPO_B
為優先。

john1230 iT邦新手 5 級 ‧ 2013-10-10 16:16:54 檢舉

小弟爬文看到的也是以OU為優先
目前的問題是在OU上連結的Policy都沒有實際效果
有執行gpupdate /force指令、重新登入及重開機等動作
查看Client端也確實套用了
但在gpedit裡看到的值卻不會套用Policy設定
Orz....

0
roylee
iT邦高手 1 級 ‧ 2013-10-14 15:29:59

john1230提到:
小弟爬文看到的也是以OU為優先
目前的問題是在OU上連結的Policy都沒有實際效果
有執行gpupdate /force指令、重新登入及重開機等動作
查看Client端也確實套用了
但在gpedit裡看到的值卻不會套用Policy設定
Orz....

您好~~

請問本機群組原則有設定嗎?GPO由上至下套用,最後會以若有相衝突的設定會以OU為主,但是若本機群組原則也有設定相同的地方也會被蓋掉,且有些GPO設定是套用在電腦物件才會生效您可能要檢查看看。

看更多先前的回應...收起先前的回應...
花輪 iT邦大師 1 級 ‧ 2013-10-14 20:54:07 檢舉

roylee提到:
GPO由上至下套用,最後會以若有相衝突的設定會以OU為主,但是若本機群組原則也有設定相同的地方也會被蓋掉

這段話我覺得怪怪的... GPO的套用順序中,LOCAL(本機) 是第一個被套用的,再來是 DOMAIN > SITE > OU,若這四種 GPO 中有項目衝突發生,會以最後套用的為準,除非 OU 的部分是"未設定",再來是看 SITE 的設定,依此類推,LOCAL 的設定項目只要與後三者衝突就被後者套用時 '覆蓋' 掉,不可能用 LOCAL 的設定把後套用的蓋掉,除非 MS 變更規則了!

以上,提供參考,有錯歡迎指正,謝謝

roylee iT邦高手 1 級 ‧ 2013-10-15 21:27:43 檢舉

暈,謝謝大大糾正,是我記錯了,抱歉誤導大家~~

Local ->Site ->Domain ->OU

roylee提到:
有些GPO設定是套用在電腦物件才會生效您可能要檢查看看

很多時候明明設定的是"電腦設定", 但OU裡面並沒有任何電腦物件.

0
alexlex
iT邦新手 4 級 ‧ 2013-10-16 10:36:36

剛看了一看,gpedit所能查看的,部分例如password policy,會根據ad上的gp改變,而shut script這種就沒有,ie的homepage之類也沒有,而實際上是已經套用了。

我猜是因為這些設定是可以local與ad不同的(當然實際會以ad gp為優先),而password policy是必須一致的(我們還是2003)。

花輪 iT邦大師 1 級 ‧ 2013-10-16 12:24:59 檢舉

YES~ 2003版的整個 AD 只能有一份 PSW POLICY,記得是 2008R2 開始才能有多個 PSW POLICY...

我要發表回答

立即登入回答