Como você substitui um GPO por outro GPO?

5

Se houver um GPO aplicado a todos os computadores do domínio que desativam alguma coisa, há uma maneira de reativar o recurso desativado para alguns hosts no domínio, sem retirar esses hosts do grupo padrão de computadores do domínio?

Em outras palavras, outro GPO, que reativa o recurso desativado, pode ser aplicado a um subconjunto OU, cujos computadores membros ainda sejam membros de Computadores do Domínio? Em caso afirmativo, onde exatamente a hierarquia de domínio deve ser essa OU, como os dois GPOs devem ser aplicados?

    
por paradroid 27.03.2012 / 16:31

3 respostas

8

Sim, absolutamente, essa é a base da hierarquia da Diretiva de Grupo. As políticas de grupo são aplicadas na seguinte ordem:

  1. Política de Grupo Local (com base na máquina do cliente - isso não está conectado à sua Política de Grupo do AD)
  2. Políticas no nível do site
  3. Políticas no nível do domínio
  4. Políticas de Nível da OU

Dentro de cada um dos últimos 3, cada 'nível' pode ter vários GPOs e sua ordem é decidida pelo administrador do sistema. Isso é chamado de "ordem de link" e o menor número é processado por último, o que significa que a política tem a palavra final.

As políticas da UO são aplicadas começando na "raiz" e, em seguida, para baixo, se isso fizer sentido.

Aqui estão algumas boas leituras sobre o assunto:

link

Com relação ao que realmente fazer com o GPO individual, bem, esse tipo depende da política em si, mas, em geral, eles têm as três opções a seguir:

  • Ativado
  • desativado
  • Não configurado

E tudo o que acontece é que a última política a ser executada terá a palavra final sobre a definição final. Com exceção de 'Não configurado', onde não são feitas alterações. 'Não configurado' é o padrão para todas as opções da Diretiva de Grupo quando você cria um novo GPO.

Portanto, se sua política atual tiver uma configuração "Ativada", você precisará criar um GPO com a mesma configuração "Desativado".

    
por 27.03.2012 / 16:39
4

Além das respostas postadas, você também pode vincular o GPO ao domínio (em vez de criar uma unidade organizacional e mover os objetos do computador para essa unidade organizacional e vincular seu GPO a essa unidade organizacional) e usar a Filtragem de segurança para filtrar o GPO de modo que se aplique apenas aos computadores necessários. Você só precisaria definir a ordem de link deste GPO mais alta do que o outro GPO (aquele que desabilita a configuração).

Sugiro criar um grupo para os computadores afetados, adicionando os objetos de computador a esse grupo, criar e vincular seu GPO, definir a ordem de vinculação do GPO e configurar a Filtragem de segurança para que esse GPO seja aplicado apenas ao grupo que você criado para esses computadores.

    
por 27.03.2012 / 16:46
2

Sim, a ordem em que as políticas de grupo são aplicadas depende de sua colocação na estrutura do Active Directory, seguindo o pedido da LSDO (Local, Site, Domínio, Unidade Organizacional).

Portanto, se a política de computadores do domínio for aplicada no nível do domínio, você poderá aplicar outra política no nível da UO que contenha os hosts para os quais você deseja substituir as configurações. A política de nível de unidade organizacional substituirá quaisquer configurações duplicadas.

    
por 27.03.2012 / 16:38