群組原則管理中, 有些一直不明的事情, 希望幫友可教一下。
在建一個群組原則物件時, 裡面必定會有【電腦設定】及【使用者設定】各自的系統管理範本。起初, 會在字面上解說, 一個是針對電腦, 一個是針對使用者, 但有時候會出現不明白, 開始混亂。所以想問一下大家!
例如: 加入了GOOGLE CHROME的管理設定, 希望把CHROME設定為預設瀏覽器
在【電腦設定】及【使用者設定】都有把CHROME設定為預設瀏覽器的參數設定, 起初想【電腦設定】內設定, 能標準化所有用戶電腦, 後來發現不成功。 之後改為修改【使用者設定】的, 結果成功了。
這樣出了一個問題: 【電腦設定】及【使用者設定】各自的系統管理範本, 都有相同的東西, 到底我們於什麼情況下修改【電腦設定】的系統管理範本, 什麼情況下修改【使用者設定】的系統管理範本呢?
本人開始混亂, 總是這個不成功, 試一下改另一個。我想修正好此處理的方法。
已邀請的邦友 {{ invite_list.length }}/5
在群組原則內,有各種GPO物件,他與 Active Directory 使用者和電腦有相對關係
OU(組織單位),電腦(物件),網域帳戶(使用者),GPO物件,4者有對應關係
舉例:
一個OU(組織單位),名稱:test , 一個GPO物件,名稱:testGPO
一個電腦,名稱:test.it.abc , 網域名稱:xxx.it.abc
兩個使用者帳戶:test111 與 test222
情境模擬:
一台新加入網域的電腦test.it.abc,然後打開 Active Directory 使用者和電腦
新加入的電腦預設放在Computers ,將此電腦從Computers移動到test這個OU(組織單位)
打開GPO群組原則管理,將test這個OU(組織單位)連結現有GPO到這個OU上,
(OU組織單位) test ==> 連結 (GPO物件) testGPO
此時對testGPO群組原則內,設定的任何【電腦設定】都會套用
因為此"電腦"放在test這個OU內,而這個OU(test)又與GPO物件(testGPO)做連結
如果要讓testGPO內的【使用者設定】發揮設定的話,必須將test111 與 test222 兩個帳戶
透過Active Directory 使用者和電腦,將帳戶移動到 test這個OU(組織單位)內
這樣testGPO 【使用者設定】 的設定才會生效
要注意的是GPO有所謂的疊加與優先順序,如果【電腦設定】【使用者設定】有同樣設定的話
【電腦設定】的原則為第一優先,如果是同位置但是是不同功能的話,就會疊加設定而不會覆蓋
GPO相關的設定還有非常多規則在,就不在此一一說明了。
iThome鐵人賽
看影片追技術