none
2008r2域控组策略问题 RRS feed

  • 问题

  • 1、是否有组策略设置只在default domain policy 下才会生效,新建单独策略(ddp未设置下)无效的情况?比如密码或者安全设置

    2、新建域策略,在计算机和用户策略下都有设置,按照我的理解,用户设置只能应用于用户,计算机设置只能应用于计算机,我把计算机A和用户B放置于同一个ou,应用该策略,使用b用户登录a计算机,是否计算机与用户设置都会同时应用到?

    3、计算机与用户策略冲突时,优先计算机策略?

    4、组织单元host中全部都是计算机,组织单元domainuser下全部都是用户账户,默认安全筛选中保持authenticated users,所有的计算机和用户都能应用到策略,无需针对性添加?如果将计算机和用户混杂放置于一个ou,默认安全筛选也是保持authenticated users所有用户和计算机都能应用(计算机应用计算机设置,用户应用用户设置)?

    5、单独一个域策略既包含用户设置,又包含计算机设置是否会有问题?

    2019年6月3日 8:55

答案

全部回复

    你好,

    谢谢你的提问。

    1. 1. 关于组策略设置,并没有明确规定特定的策略必须设置在DDP下面。但是类似账号或者安全策略,想要这些策略生效,则必须将他们链接到域容器中,比如: 

    •      a. 计算机配置/ Windows设置/安全设置/帐户策略中的所有设置(包括所有帐户锁定,密码和Kerberos策略。) 

    •      b. 计算机配置/ Windows设置/安全设置/本地策略/安全选项中的以下三个设置: 
       

    •   登录时间到期后自动注销用户 
    •    重命名管理员帐户 
    •   重命名来宾帐户 

        也就是说你可以创建新的组策略对象,但是包含上述策略的对象必须应用到域容器中。 

    2.  是的,都会同时应用。 

    3. 你之前已经说过了计算机设置只会应用于计算机,用户设置只会应用到用户,那怎么会产生冲突呢。 

    产生冲突的情况:例如,我们有一个域,这个域有两个不同的组织单位(OU)绿色红色绿色OU包含一个计算机帐户和红色OU包含用户帐户。具有“计算机配置2”“用户配置2”设置的绿色策略将应用于具有计算机帐户的OU。具有“计算机配置1”“用户配置1”设置的红色策略将使用用户帐户应用于OU。如果您查看下面的图片,它将变得更加清晰。 如果未启用组策略的环回处理并且我们的用户登录到我们的计算机,则会出现以下情况: 从图中可以看出,用户获取计算机配置2用户配置1。

    在这种情况下就需要启用环回处理,你想要了解更多的话,请去互联网上搜索了解,也可以继续向我提问。 

    4. 是的,无需特殊针对性添加。默认情况下,GPO中的设置适用于驻留在链接到GPO的容器中的所有用户和计算机帐户。安全过滤的作用在于你想要将容器下的部分用户计算机应用组策略的情况。 

    5. 不会有问题,很正常 

     

    最好的祝福,

    Lee



    Just do it.

    2019年6月4日 5:45
    版主
  • 十分感谢您的回答,关于第三点,计算机设置与用户设置冲突,我可以举例

    有两种情况

    情况1,在一个策略中冲突:

    a策略-计算机设置-管理模板-windows组件-windows日历-关闭windows日历(已启用)

    a策略-用户设置-管理模板-windows组件-windows日历-关闭windows日历(已禁用)

    a策略同时应用到计算机c和用户u,当用户u登录计算机c,组策略结果为?

    情况2,在不同策略中冲突:

    a策略-计算机设置-管理模板-windows组件-windows日历-关闭windows日历(已启用)

    b策略-用户设置-管理模板-windows组件-windows日历-关闭windows日历(已禁用)

    a策略应用到计算机c,b策略应用到用户u,当用户u登录到计算机c,组策略结果为?

    虽然结果可以在模拟环境中测试获得,但是我想知道微软官方对于此种冲突现象是否有优先级说明

    2019年6月4日 6:34
  • 你好,

    谢谢你的回复。

    如果我们在一个GPO中的计算机配置和用户配置中设置设置相互冲突,则计算机配置将覆盖用户配置。

    这是我在论坛上找到的一个微软官方人员的回复。

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/80acfa3f-3437-455e-b428-9f3b60d564db/understanding-domain-policies-computer-user-configuration?forum=winserverGP

    第二种情况我认为你需要测试一下,以你的测试结果为主。微软官方确实没有相应的文档介绍这一情况。

    如果我的回复帮助到了您,希望可以标记为回复以帮助论坛中有相同问题的用户。

    祝你工作愉快!

    Lee


    Just do it.

    • 已标记为答案 nelson2004 2019年6月4日 7:58
    2019年6月4日 7:54
    版主
  • 十分感谢您的回答
    2019年6月4日 7:58
  • 不用客气。

    Just do it.

    2019年6月4日 8:55
    版主