组策略的环回处理
本文可帮助解决当用户登录到特定组织单位中的计算机时应用组策略环回函数的问题。
适用于: Windows Server(所有支持的版本)
原始 KB 数: 231287
总结
组策略以依赖于用户和计算机对象位于 Active Directory 中的位置的方式应用于用户或计算机。 但是,在某些情况下,用户可能需要根据用户对象和计算机对象的位置或仅计算机对象的位置应用策略。在这种情况下,可以使用组策略环回功能相应地应用组策略对象(GPO)。
详细信息
若要设置每台计算机的用户配置,请执行以下步骤:
- 在组策略Microsoft管理控制台(MMC)中,选择“ 计算机配置”。
- 找到管理模板,选择“系统”,选择“组策略”,然后启用“配置用户组策略环回处理模式”选项。
此策略指示系统将计算机的 GPO 集应用于登录到受此策略影响的计算机的任何用户。 此策略适用于特殊使用的计算机,你必须根据所使用的计算机修改用户策略。 例如,公共区域、实验室和教室中的计算机。
注意
环回仅在 Active Directory 环境中受支持。 计算机帐户和用户帐户都必须位于 Active Directory 中。 当用户在自己的工作站上工作时,你可能希望根据用户对象的位置应用组策略设置。 因此,建议根据用户帐户所在的组织单位配置策略设置。 当计算机对象驻留在特定组织单位中时,应根据计算机对象的位置而不是用户对象来应用策略的用户设置。
注意
不能通过拒绝或删除为环回策略指定的计算机对象中删除 AGP 和读取权限来筛选应用的用户设置。
普通用户组策略处理指定位于其组织单位的计算机在计算机启动期间按顺序应用 GPO。 无论登录的计算机如何,组织单位中的用户都按顺序应用 GPO。
在某些情况下,此处理顺序可能不适用。 例如,如果不希望在用户登录到特定组织单位中的计算机时安装已分配给其组织单位或将其发布到用户的应用程序。 使用组策略环回支持功能,可以指定另外两种方法来检索此特定组织单位中计算机的任何用户的 GPO 列表:
合并模式
在此模式下,当用户登录时,通常使用 GetGPOList 函数收集用户的 GPO 列表。 然后使用计算机在 Active Directory 中的位置再次调用 GetGPOList 函数。 然后,将计算机的 GPO 列表添加到用户的 GPO 末尾。 它使计算机的 GPO 的优先级高于用户的 GPO。 在此示例中,将计算机的 GPO 列表添加到用户的列表中。
替换模式
在此模式下,不会收集用户的 GPO 列表。 仅使用基于计算机对象的 GPO 列表。
数据收集
如果需要Microsoft支持方面的帮助,建议按照使用 TSS 收集信息中的 步骤收集组策略问题来收集信息。