GPO环回处理是一种机制,它允许用户策略仅在某些计算机上生效。通常,用户策略链接到用户OU,并且无论用户登录哪台计算机都将应用该策略。但是,在这种情况下,用户策略链接到计算机OU,并且在登录计算机时不会对用户生效。在这个OU之外。以这种方式应用的用户策略可以替换常规策略或与常规策略合并。管理员必须知道如何启用GPO回送处理,并了解适合该情况的模式。
如何启用GPO回送处理
在这种情况下,我们在Windows Server 2012 R2域控制器上运行一个域asaputra.com ,其OU结构如下图所示配置。用户包含在“ 全局用户”下的任何区域OU中。计算机在无论是包含开发或督促下,工作站OU。用户登录到除Dev OU中的计算机以外的任何计算机时,需要在每个区域收到“ 全局用户策略 ”及其各自的“ 品牌策略 ”。当用户在Dev OU下登录计算机时,他们应该收到“ Dev User Policy ”。
为实现此要求而逐步启用组策略环回处理和分析的步骤如下:
1.将所需的用户策略链接到计算机OU
确保已将所需的用户策略链接到计算机OU。这样,仅当用户策略登录到作为此OU成员的计算机时,才可以将用户策略应用于用户。在这种情况下,“ Dev用户策略”已应用于Dev(计算机OU)。
2.确定要使用
GPO环回处理的计算机策略对象是计算机设置,因此可以在计算机策略中对其进行配置。计算机策略本身应链接到计算机OU。在这种情况下,将在“ Dev Computer Policy ” 上启用GPO回送处理,并将其链接到Dev计算机OU。
3.配置GPO回送处理
该设置位于“ 计算机配置”>“策略”>“管理模板”>“系统”>“组策略”>“配置用户组策略回送处理模式”。
双击设置。将其设置为“已启用”,然后从下拉菜单中选择模式。
如开头所述,回送处理有两种模式:
- 替换:选中后,链接到计算机OU 的用户策略将覆盖链接到用户OU的其他用户策略。
- 合并:选中后,将应用链接到计算机OU 的用户策略以及链接到该用户OU的其他用户策略。如果策略之间的设置存在冲突,GPO将根据链接顺序正常处理它们。
根据这种情况下的需求,最合适的模式是“ 替换”,因为必须应用“ 开发用户策略 ”,而不是通过用户OU通常应用的其他策略。
验证
在启用环回处理之前,用户将收到应用于其OU的所有策略。使用命令gpresult / r和gpresult / r / SCOPE COMPUTER对其进行验证,结果如下图所示:
启用回送处理后,应将这些用户策略替换为链接到计算机OU的“开发用户策略”。像普通的GPO一样,一旦刷新策略,就应应用环回处理,否则我们可以通过使用命令gpupdate / force强制它。下图显示了之后的结果:
根据结果,GPO回送处理已成功进行。为了进行最终验证,当用户在Dev OU以外的另一台计算机上签名时,用户仍应接收其常规用户策略。
这样,您可以启用GPO回送处理。
