Soru GPO'yu başka bir GPO ile nasıl geçersiz kılarsınız?


Bir şeyleri devre dışı bırakan tüm Etki Alanı Bilgisayarlarına uygulanan bir GPO varsa, bu ana bilgisayarları varsayılan Etki Alanı Bilgisayarları grubundan çıkarmadan, etki alanındaki bazı ana makineler için devre dışı bırakılan şeyi yeniden etkinleştirmenin bir yolu var mıdır?

Başka bir deyişle, devre dışı bırakılan özelliği yeniden etkinleştiren başka bir GPO, üye bilgisayarları hala Domain Computers üyesi olan bir alt kümesine uygulanabiliyor mu? Eğer öyleyse, tam olarak alan hiyerarşisinde OU yapılmalı ve iki GPO nasıl uygulanmalıdır?


5
2018-03-27 14:31


Menşei




Cevaplar:


Evet, kesinlikle, bu Grup İlkesi hiyerarşisinin temelidir. Grup İlkeleri aşağıdaki sırayla uygulanır:

  1. Yerel Grup İlkesi (İstemci makinesine göre - bu, AD Grup Politikanıza bağlı değildir)
  2. Site Seviyesi Politikaları
  3. Alan Seviyesi Politikaları
  4. OU Seviye Politikaları

Sonraki 3'ün her birinde, her 'seviye' birden fazla GPO'ya sahip olabilir ve siparişleri sistem yöneticisi tarafından belirlenir. Buna "bağlantı sırası" denir ve en düşük sayı en son işlenir, yani bu, politikanın son sözüne sahip olduğu anlamına gelir.

OU politikaları "kök" den başlayarak uygulanır ve daha sonra, eğer bu mantıklıysa aşağı doğru uygulanır.

İşte bu konuda iyi bir okuma var:

http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx

Bireysel GPO ile fiilen ne yapılacağına ilişkin olarak, bu tür politikaların kendilerine bağlı olmakla birlikte genel olarak aşağıdaki üç seçeneğe sahiptirler:

  • Etkin
  • engelli
  • Ayarlanmamış

Ve bu gerçekleşen her şey, en son yürütme politikasının, nihai olarak neyin belirlendiğine dair son sözü verecek olmasıdır. Hiçbir değişiklik yapılmayan 'Yapılandırılmamış' istisnası ile. Yeni bir GPO oluşturduğunuzda Grup İlkesi içindeki tüm seçenekler için 'Yapılandırılmadı' varsayılan ayardır.

Dolayısıyla, mevcut politikanız "Etkin" olan bir ayar varsa, "Devre Dışı" aynı ayarda bir GPO oluşturmanız gerekir.


8
2018-03-27 14:39



+1. GPO ayarının karşıt (veya amaçlanan ayar) ayarlanması hakkında iyi bir nokta. Yapılandırılmamış olarak ayarlanması, ayarı "tersine çevirmez", "geçerli ayarda değişiklik yapılmayacak" anlamına gelir, bu da bazı kişilerin GP ile çalıştıklarında kafasını karıştırdığını düşünüyorum. - joeqwerty
@joeqwerty Anlaştık, bu karışıklığı gördüm. Bunu her zaman benim için anlamlı olan "Bu politikada yapılandırılmadı" olarak okudum. - Dan
Belirli bir makinede bir şeyi devre dışı bırakan "Bilgisayar Yapılandırması" için geçerli olan bir politika varsa ve belirli bir kullanıcı için bir şeyler yapmasını sağlayan "Kullanıcı Yapılandırması" için geçerli olan bir politika varsa nasıl çalışır. Bu makinede kullanıcı için ayar ne olacak? - Doug


Önceden gönderilen yanıtlara ek olarak, GPO'yu etki alanına da bağlayabilirsiniz (bir OU oluşturmak ve bilgisayar nesnelerini bu OU'ya taşımak ve GPO'nuzu bu OU'ya bağlamak yerine) ve GPO'yu filtrelemek için Güvenlik Filtrelemesi'ni kullanabilirsiniz. sadece gerekli bilgisayarlar için geçerlidir. Bu GPO’nun bağlantı sırasını yalnızca diğer GPO’dan (ayarı devre dışı bırakan) daha yüksek bir değere ayarlamanız gerekir.

Etkilenen bilgisayarlar için bir grup oluşturmanızı, bilgisayar nesnelerini bu gruba eklemenizi, GPO'nuzu oluşturup bağlamanızı, GPO için bağlantı sırasını ayarlamanızı ve bu GPO için Güvenlik Filtrelemesini yalnızca bunlar için oluşturduğunuz gruba uygulamak üzere yapılandırmanızı öneririm. bilgisayarlar.


4
2018-03-27 14:46



'Bu GPO'nun bağlantı sırasını diğer GPO'dan yüksek' olarak ayarladığınızda, sayısal olarak daha yüksek bir Önceliği mi yoksa listede daha yüksek (daha düşük bir Sayısal Öncelik mi) olduğunu mu söylüyorsunuz? - paradroid
Daha yüksek bağlantı sırasına sahip GPO (1'in en yüksek bağlantı sırasına sahip) daha yüksek bir önceliğe sahiptir ve bu nedenle GPO işleminde daha sonra (veya son olarak) uygulanacaktır. Dolayısıyla, GPO'nuz için, diğer GPO'larınızdan daha yüksek bir bağlantı sırası (1 ile en yüksek olanı) vermek istiyorsunuz. - joeqwerty


Evet, grup ilkelerinin uygulandığı sıra, LSDO sırasını (Yerel, Site, Etki Alanı, Kuruluş Birimi) izleyerek Active Directory yapısına yerleştirilmesine bağlıdır.

Bu nedenle, etki alanı bilgisayarları ilkesi etki alanı düzeyinde uygulanırsa, OU düzeyinde, ayarları geçersiz kılmak istediğiniz ana bilgisayarları içeren başka bir ilke uygulayabilirsiniz. OU düzeyi politikası, çoğaltılmış ayarları geçersiz kılar.


2
2018-03-27 14:38



Bir OU'da istediğiniz kadar GPO tanımlayabilirsiniz, ardından GPMC'de önceliği düzenleyebilirsiniz. - adaptr