GPOを別のGPOでどのように上書きしますか?
何かを無効にするすべてのドメインコンピュータに適用されるGPOがある場合、それらのホストをドメインから取り出さずに、ドメイン内の一部のホストに対して無効にしたものを再度有効にする方法があります。デフォルトのDomain Computersグループ?
つまり、無効にされた機能を再度有効にする別のGPOを、メンバーコンピューターがまだドメインコンピューターのメンバーであるサブセットOUに適用できますか?その場合、ドメイン階層の正確な場所にOUを作成し、2つのGPOをどのように適用する必要がありますか?
はい、もちろん、これがグループポリシー階層のまさに基盤です。グループポリシーは次の順序で適用されます。
- ローカルグループポリシー(クライアントマシンに基づく-これはADグループポリシーに接続されていません)
- サイトレベルのポリシー
- ドメインレベルのポリシー
- OUレベルのポリシー
後者の3つのそれぞれの中で、各「レベル」は複数のGPOを持つことができ、それらの順序はシステム管理者によって決定されます。これは「リンク順序」と呼ばれ、最も小さい番号が最後に処理されます。つまり、ポリシーが最終決定権を持っています。
OUポリシーは、「ルート」から始めて、それが理にかなっている場合は下に適用されます。
これは主題についてのよい読書です:
http://technet.Microsoft.com/en-us/library/cc785665(v = ws.10).aspx
個々のGPOを実際にどうするかに関しては、その種類はポリシー自体に依存しますが、通常、次の3つのオプションがあります。
- 有効
- 無効
- 構成されていません
そして、起こるすべてのことは、実行する最後のポリシーが、最終的な設定が何であるかについての最終的な「言い伝え」を持つことです。変更が行われない「未構成」を除きます。 「未構成」は、新しいGPOを作成するときのグループポリシー内のすべてのオプションのデフォルトです。
したがって、現在のポリシーの設定が「有効」の場合、同じ設定「無効」でGPOを作成する必要があります。
既に投稿されている回答に加えて、GPOをドメインにリンクすることもできます(OUを作成してコンピューターオブジェクトをこのOUに移動し、GPOをこのOUにリンクするのではなく)、セキュリティフィルタリングを使用してGPOをフィルタリングし、必要なコンピューターにのみ適用されるようにします。このGPOのリンク順序を他のGPO(設定を無効にするもの)よりも高く設定するだけで済みます。
影響を受けるコンピューターのグループを作成し、コンピューターオブジェクトをこのグループに追加し、GPOを作成してリンクし、GPOのリンク順序を設定し、このGPOのセキュリティフィルターを構成して、これらのコンピューター用に作成したグループ。
はい、グループポリシーが適用される順序は、LSDOの順序(ローカル、サイト、ドメイン、組織単位)に従って、Active Directory構造内での配置に依存します。
したがって、ドメインコンピュータポリシーがドメインレベルで適用されている場合、設定を上書きするホストを含むOUレベルで別のポリシーを適用できます。 OUレベルのポリシーは、重複する設定を上書きします。