Я создал новый объект групповой политики, который будет применяться к определенной группе безопасности AD. Это было создано в подразделении верхнего уровня «Пользователи организации». В этом подразделении 4 существующих объекта групповой политики, поэтому создание этого было пятым. Этот новый GPO «S_Pilot_GPO» был изменен на 1 в порядке связывания.
Этот объект групповой политики устанавливает: Конфигурация пользователя-> Административные шаблоны-> DP AD Client-> Управляемые приложения-> PWM, «Управляемый вход в систему» на Включено.
(Один из существующих объектов групповой политики, DPKioskSettings, также применяет указанную выше конфигурацию пользователя. Поэтому я сделал порядок связи 1 для нового объекта групповой политики)
Область действия применяется к группе безопасности AD "S_Pilot".
У меня есть пользователь в «S_Pilot», но когда он входит в систему с указанным пользователем, этот новый GPO не применяется. Он застревает при применении с исходными объектами групповой политики. rsop.msc указывает, что вместо него все еще применяется DPKioskSetting.
S_Pilot_GPO связан с организационными единицами «Компьютеры организации» и «Пользователи организации». А «DPKioskSetting» связан с «Компьютерами организации», «Пользователи организации», «Студенты», «Серверы обучения» и «Просмотр рабочих столов».
Ни один из этих объектов групповой политики не применяется.
Что мне не хватает? Разве порядок ссылки не должен заставлять этот новый GPO переопределять DPKioskSetting?
Я попытался сделать новый GPO Enforced, нет разницы.
Вы добавили «компьютерный» доступ для чтения к своему объекту групповой политики на вкладке делегирования? Поскольку наличие фильтра с группой безопасности для объекта групповой политики без участия всех пользователей в нем нарушает работу объекта групповой политики, поскольку компьютер не может прочитать эту фильтрацию до того, как она будет применена к пользователю или нет.
Если для любого из них установлено принудительное исполнение, они будут иметь приоритет независимо от порядка. Установите тот, который вы хотите переопределить по умолчанию, на принудительный и убедитесь, что он действительно применяется к хосту, на который они входят.