Sim, absolutamente, essa é a base da hierarquia da Diretiva de Grupo. As políticas de grupo são aplicadas na seguinte ordem:
- Política de Grupo Local (com base na máquina do cliente - isso não está conectado à sua Política de Grupo do AD)
- Políticas no nível do site
- Políticas no nível do domínio
- Políticas de Nível da OU
Dentro de cada um dos últimos 3, cada 'nível' pode ter vários GPOs e sua ordem é decidida pelo administrador do sistema. Isso é chamado de "ordem de link" e o menor número é processado por último, o que significa que a política tem a palavra final.
As políticas da UO são aplicadas começando na "raiz" e, em seguida, para baixo, se isso fizer sentido.
Aqui estão algumas boas leituras sobre o assunto:
Com relação ao que realmente fazer com o GPO individual, bem, esse tipo depende da política em si, mas, em geral, eles têm as três opções a seguir:
- Ativado
- desativado
- Não configurado
E tudo o que acontece é que a última política a ser executada terá a palavra final sobre a definição final. Com exceção de 'Não configurado', onde não são feitas alterações. 'Não configurado' é o padrão para todas as opções da Diretiva de Grupo quando você cria um novo GPO.
Portanto, se sua política atual tiver uma configuração "Ativada", você precisará criar um GPO com a mesma configuração "Desativado".