iT邦幫忙

0

關於AD群組原則套用問題

目前因公司有考慮導入GCB原則,所以需要在群組原則內做測試,目前有找一個OU做套用,但發現一些情況。
設定狀況:
1.GCB群組原則[連結]至其中一個"群組A"
2.使用[安全性篩選]特定的"AD帳號"來測試
3.啟用[強制]
實際狀況:
1.從本機(cmd)下[gpresult /r]指令,發現
a.電腦設定是套用到"網域原則" O
b.使用者設定是套用到"GCB原則" X

能否協助推斷是什麼原因致使[電腦設定]未正確套用呢?
如需補充相關訊息,再麻煩告知補充,感謝各位邦友!

2 個回答

8
michaelwan
iT邦高手 1 級 ‧ 2014-08-11 11:03:13
最佳解答

haur5提到:
GCB群組原則[連結]至其中一個"群組A"

群組原則不是拿來套"群組"~
是拿來套用OU下的使用者帳號或電腦帳號.

看更多先前的回應...收起先前的回應...
haur5 iT邦研究生 4 級 ‧ 2014-08-12 14:31:17 檢舉

感謝指正→ "群組A" = OU
有從連結的OU中,指定特定的AD使用者,但在這些使用者的Client端發現,只有吃到[使用者設定]沒有吃到[電腦設定]

那些在"群組A"的OU中, 只有使用者帳號, 並沒有電腦帳號.
而電腦帳號存在其他的OU或容區中(沒有其他群組原則), 當然只會套用到Default domain policy.

預設電腦加入AD後, 電腦帳號是放入computers容區中.

按太快.. 而computers是一個容區, 不能套用自己的群組原則, 所以會套用上層,
也就是整個網域. 但Domain Controllers預設上是就是個OU.

haur5 iT邦研究生 4 級 ‧ 2014-08-18 14:48:27 檢舉

了解,謝謝您,今日已經實作確認OK,感謝解答! (確實為Computers未分類至OU所致)

2
enen1980
iT邦研究生 1 級 ‧ 2014-08-12 09:24:19

GPUpdate.exe /force

haur5 iT邦研究生 4 級 ‧ 2014-08-12 14:29:33 檢舉

AD上群組原則設定完畢後,有先至Client端下gpupdate /force指令,但實際狀況不曉得為何他只有正常套用到[使用者設定]
而[電腦設定]只有吃到"Default Policy"

enen1980 iT邦研究生 1 級 ‧ 2014-08-12 15:18:38 檢舉

使用者設定吃了, 而[電腦設定]只有吃到"Default Policy"
<----將部PC RE-JOIN 個AD???
REMARK# 退出AD 後在DC 電腦OU 中都DELETE / RE-NAME PC NAME, 可以嗎?

haur5 iT邦研究生 4 級 ‧ 2014-08-18 14:47:42 檢舉

感謝回答,後來發現如michaelwan所言,Computers未分類至OU所致,已完成套用!

我要發表回答

立即登入回答