關於AD群組原則套用問題 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

關於AD群組原則套用問題

windows ad 伺服器 windows server 系統管理帳號

H5 2014-08-11 09:53:56 ‧ 15072 瀏覽

分享至

目前因公司有考慮導入GCB原則，所以需要在群組原則內做測試，目前有找一個OU做套用，但發現一些情況。
設定狀況：
1.GCB群組原則[連結]至其中一個"群組A"
2.使用[安全性篩選]特定的"AD帳號"來測試
3.啟用[強制]
實際狀況：
1.從本機(cmd)下[gpresult /r]指令，發現
a.電腦設定是套用到"網域原則" O
b.使用者設定是套用到"GCB原則" X

能否協助推斷是什麼原因致使[電腦設定]未正確套用呢？
如需補充相關訊息，再麻煩告知補充，感謝各位邦友！

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

2 個回答

8

michaelwan

iT邦高手 1 級 ‧ 2014-08-11 11:03:13

最佳解答

haur5提到：
GCB群組原則[連結]至其中一個"群組A"

群組原則不是拿來套"群組"~
是拿來套用OU下的使用者帳號或電腦帳號.

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

H5 iT邦研究生 4 級 ‧ 2014-08-12 14:31:17 檢舉

感謝指正→ "群組A" = OU
有從連結的OU中，指定特定的AD使用者，但在這些使用者的Client端發現，只有吃到[使用者設定]沒有吃到[電腦設定]

michaelwan iT邦高手 1 級 ‧ 2014-08-12 16:57:07 檢舉

那些在"群組A"的OU中, 只有使用者帳號, 並沒有電腦帳號.
而電腦帳號存在其他的OU或容區中(沒有其他群組原則), 當然只會套用到Default domain policy.

michaelwan iT邦高手 1 級 ‧ 2014-08-12 16:59:00 檢舉

預設電腦加入AD後, 電腦帳號是放入computers容區中.

michaelwan iT邦高手 1 級 ‧ 2014-08-12 17:04:48 檢舉

按太快.. 而computers是一個容區, 不能套用自己的群組原則, 所以會套用上層,
也就是整個網域. 但Domain Controllers預設上是就是個OU.

H5 iT邦研究生 4 級 ‧ 2014-08-18 14:48:27 檢舉

了解，謝謝您，今日已經實作確認OK，感謝解答！ (確實為Computers未分類至OU所致)

登入發表回應

2

enen1980

iT邦研究生 1 級 ‧ 2014-08-12 09:24:19

GPUpdate.exe /force

回應 3
分享
檢舉

H5 iT邦研究生 4 級 ‧ 2014-08-12 14:29:33 檢舉

AD上群組原則設定完畢後，有先至Client端下gpupdate /force指令，但實際狀況不曉得為何他只有正常套用到[使用者設定]
而[電腦設定]只有吃到"Default Policy"

enen1980 iT邦研究生 1 級 ‧ 2014-08-12 15:18:38 檢舉

使用者設定吃了, 而[電腦設定]只有吃到"Default Policy"
<----將部PC RE-JOIN 個AD???
REMARK# 退出AD 後在DC 電腦OU 中都DELETE / RE-NAME PC NAME, 可以嗎?

H5 iT邦研究生 4 級 ‧ 2014-08-18 14:47:42 檢舉

感謝回答，後來發現如michaelwan所言，Computers未分類至OU所致，已完成套用！

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22199 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙