Если есть объект групповой политики, который применяется ко всем компьютерам домена, который что-то отключает, есть ли способ повторно включить отключенное свойство для некоторых хостов в домене, не исключая эти хосты из группы «Компьютеры домена по умолчанию»?
Другими словами, может ли другой объект групповой политики, который повторно включает отключенную функцию, применяться к подмножеству OU, рядовые компьютеры которого все еще являются членами Domain Computers? Если да, то где именно в иерархии доменов следует разместить это подразделение и как применить эти два объекта групповой политики?
Да, безусловно, это самая основа иерархии групповой политики. Групповые политики применяются в следующем порядке:
Внутри каждого из последних трех уровней каждый «уровень» может иметь несколько GPO, и их порядок определяется системным администратором. Это называется «порядком связи», и наименьшее число обрабатывается последним, что означает, что последнее слово остается за политикой.
Политики OU применяются, начиная с «корня», а затем вниз, если это имеет смысл.
Вот хорошее чтение по этому поводу:
http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx
Что касается того, что на самом деле делать с отдельным GPO, это зависит от самой политики, но, как правило, у них есть следующие три варианта:
И все, что происходит, - это то, что последняя выполняемая политика будет иметь последнее «слово» в отношении того, с чем будет заключаться последняя настройка. За исключением «Не настроено», где не вносятся изменения. «Не настроено» является значением по умолчанию для всех параметров в групповой политике при создании нового объекта групповой политики.
Итак, если ваша текущая политика имеет параметр «Включено», вам необходимо создать объект групповой политики с тем же параметром «Отключено».
В дополнение к уже опубликованным ответам вы также можете связать GPO с доменом (вместо того, чтобы создавать OU и перемещать объекты компьютера в это OU и связывать свой GPO с этим OU) и использовать фильтрацию безопасности для фильтрации GPO, чтобы он применяется только к необходимым компьютерам. Вам нужно только установить порядок связи этого объекта групповой политики выше, чем порядок связи другого объекта групповой политики (тот, который отключает этот параметр).
Я бы предложил создать группу для затронутых компьютеров, добавить в эту группу объекты компьютеров, создать и связать свой объект групповой политики, установить порядок связи для этого объекта групповой политики и настроить фильтрацию безопасности для этого объекта групповой политики, чтобы она применялась только к группе, которую вы создали для них. компьютеры.
Да, порядок применения групповых политик зависит от их размещения в структуре Active Directory в соответствии с порядком LSDO (локальный, сайт, домен, организационная единица).
Таким образом, если политика компьютеров вашего домена применяется на уровне домена, вы можете применить другую политику на уровне подразделения, которая содержит узлы, для которых вы хотите переопределить параметры. Политика уровня подразделения переопределит любые повторяющиеся настройки.