Как Вы переопределяете GPO с другим GPO?
Кажется, что это работало бы мне. Пока Вы только делаете запросы к имени NLB. Однако я взял бы длинное глубокое, изучают развертывание SQL MS и документацию архитектуры, чтобы видеть, существует ли что-нибудь, что говорит, "создают его этот путь, заботясь это Вы делаете X и не делаете Y" или "Это не будет работать вообще из-за Frob".
Да, безусловно, это самая основа иерархии групповой политики. Групповые политики применяются в следующем порядке:
- Локальная групповая политика (на основе клиентского компьютера - это не связано с вашей групповой политикой AD)
- Политики уровня сайта
- Политики уровня домена
- Политики уровня OU
Внутри каждого из последних 3, каждый «уровень» может иметь несколько GPO, и их порядок определяется системным администратором. Это называется «порядком связи», и наименьшее число обрабатывается последним, что означает, что последнее слово остается за политикой.
Политики OU применяются, начиная с «корня», а затем вниз, если это имеет смысл.
] Вот хорошее чтение по этой теме:
http://technet.microsoft.com/en-us/library/cc785665 (v = ws.10). aspx
Что касается того, что на самом деле делать с отдельным GPO, то это зависит от самой политики, но, как правило, у них есть три следующих варианта:
- Включено
- Отключено
- Не настроено
И все, что происходит, - это то, что последняя выполняемая политика будет иметь последнее «слово» в отношении того, с какой последней настройкой. За исключением «Не настроено», где не вносятся изменения. «Не настроено» является значением по умолчанию для всех параметров в групповой политике при создании нового объекта групповой политики.
Таким образом, если в вашей текущей политике есть параметр «Включено», вам необходимо создать объект групповой политики с тем же параметром «Отключено». ".
- Включено
- Выключено
- Не настроено
И все, что происходит, - это то, что последняя выполняемая политика будет иметь последнее «слово» относительно того, с какой окончательной настройкой. За исключением «Не настроено», где не вносятся изменения. «Не настроено» является значением по умолчанию для всех параметров в групповой политике при создании нового объекта групповой политики.
Таким образом, если в вашей текущей политике есть параметр «Включено», вам необходимо создать объект групповой политики с тем же параметром «Отключено». ".
- Включено
- Выключено
- Не настроено
И все, что происходит, - это то, что последняя выполняемая политика будет иметь последнее слово о том, с какой окончательной настройкой. За исключением «Не настроено», где не вносятся изменения. «Не настроено» является значением по умолчанию для всех параметров в групповой политике при создании нового объекта групповой политики.
Таким образом, если в вашей текущей политике есть параметр «Включено», вам необходимо создать объект групповой политики с тем же параметром «Отключено». ".
В дополнение к уже опубликованным ответам вы также можете связать GPO с доменом (вместо того, чтобы создавать OU и перемещать объекты компьютера в это OU и связывать свой GPO с этим OU) и используйте фильтрацию безопасности, чтобы отфильтровать объект групповой политики, чтобы он применялся только к необходимым компьютерам. Вам нужно будет только установить более высокий порядок связи этого объекта групповой политики, чем другой объект групповой политики (тот, который отключает этот параметр).
Я бы предложил создать группу для затронутых компьютеров, добавив в эту группу объекты компьютеров, создать и связать свои GPO, установите порядок ссылок для GPO и настройте фильтрацию безопасности для этого GPO, чтобы она применялась только к группе, созданной для этих компьютеров.
Да, порядок применения групповых политик зависит от их размещения в структуре Active Directory в соответствии с порядком LSDO (локальный, сайт, домен, организационная единица).
Итак. , если политика компьютеров вашего домена применяется на уровне домена, вы можете применить другую политику на уровне подразделения, которая содержит узлы, для которых вы хотите переопределить параметры. Политика уровня подразделения переопределит любые повторяющиеся настройки.