iT邦幫忙

0

AD GPO限制特定帳號才可加入網域,我該設定哪一組GPO?

  • 分享至 

  • xImage

1.執行「群組原則管理」。
2.展開「樹系 / 網域 / < Domain/ Domain Controllers」。
3.在「Default Domain Controllers Policy」上按滑鼠右鍵,點選編輯
4.展開「電腦設定 / 原則 / Windows 設定 / 安全性設定 / 本機原則 / 使用者權限指派」。
5.點擊「將工作站新增至網域」。
6.將 Authenticated Users 移除。
7.設定特定帳號可將工作站新增至網域

Default Domain Controllers Policy 跟 Default Domain Policy都有此GPO
請問哪一個GPO才是優先生效的呢? 正常來看Default Domain Policy 有套到網
域上,但我LAB做起來 設定再Default Domain Controllers Policy這裡才能生
效 @@

是否有大大可協助解惑呢

Default Domain Controllers Policy 作用於 DC 上面,Default Domain Policy 作用於整個域
但是 如果遇到 DC 的話,DC 原則優先
要把加入網域,要跟DC溝通,所以必須使用 DC 原則,因為域原則無法覆蓋DC原則
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
bun_bun
iT邦新手 5 級 ‧ 2018-11-23 09:48:43

UO 內的GPO 會把父系GPO 覆蓋
所以在Domain Controllers Policy 會把Default Domain Policy 的覆蓋掉.
除非你把父系的GPO enforced

補充一下: https://emeneye.wordpress.com/2016/02/16/group-policy-order-of-precedence-faq/

UO > Domain > Site > local

打雜工 iT邦研究生 1 級 ‧ 2018-11-24 10:38:28 檢舉

UO?應該是OU吧?

我要發表回答

立即登入回答