背景
某用户域环境桌面需要配置一些安全策略,经需求分析和技术应用,需要采用计算机策略,但是过程中发现:默认容器Computer中的计算机移动到管理用自定义的OU里时,待用户下次登录桌面后,相应计算机会重新回移到默认容器Computer中,这就导致计算机策略需要在域级别关联GPO,而不能再OU层面实现。那么新的问题,默认容器Computer中部分计算机要求不应用该策略,那怎样实现呢?本文在此,介绍如何配置GPO的例外,来实现域策略的个例不生效。
概念理解
1、关于域策略的两种实现形式:
a)计算机配置: 对计算机的相应设置,原则上无论是任何用户登录这些计算机上登录,都将加载此设置。
b)用户配置: 对用户的相应设置,原则上无论这些用户在哪些计算机上登录,都将加载这些设置。
2、域策略的应用规律:
域环境中的策略集,按照LSDOU分级应用生效:
a)L-local本地组策略
b)S-site站点级别的组策略
c)D-Domain域级别的组策略
d)OU-OU级别的组策略
域策略加载的顺序是先加载Local,再加载site的,再加载域的,最后再加载OU、子OU的。如果在同一个容器上用多条GPO,则处于列表最高位的最后加载,即OU的最后加载。如下图所示,GPO链接后有个顺序号,会优先加载最大数字的GPO: