組策略的回送處理
本文可協助您解決當使用者在特定組織單位登入計算機時套用組策略回送函式的問題。
適用於: Windows Server(所有支援的版本)
原始 KB 編號: 231287
摘要
組策略會以使用者和計算機對象位於 Active Directory 中的位置而定的方式套用至使用者或電腦。 不過,在某些情況下,使用者可能需要根據用戶對象和計算機物件的位置,或單獨套用計算機物件的位置來套用原則。在此情況下,您可以使用組策略回送功能,對應地套用組策略物件(GPO)。
其他相關資訊
若要設定每部電腦的使用者設定,請遵循下列步驟:
- 在 [組策略Microsoft管理控制台 [MMC] 中,選取 [ 計算機設定]。
- 找出 [系統管理範本],選取 [系統],選取 [組策略],然後啟用 [設定使用者組策略回送處理模式] 選項。
此原則會指示系統將計算機的 GPO 集合套用至任何登入受此原則影響之計算機的使用者。 此原則適用於特殊用途計算機,您必須根據所使用的電腦修改用戶原則。 例如,在公共場所、實驗室和教室的計算機。
注意
只有在 Active Directory 環境中才支援回送。 計算機帳戶和用戶帳戶都必須位於 Active Directory 中。 當使用者在自己的工作站上工作時,您可能會想要根據用戶物件的位置套用組策略設定。 因此,建議您根據用戶帳戶所在的組織單位來設定原則設定。 當計算機對象位於特定組織單位時,應該根據計算機物件的位置而非用戶物件來套用原則的用戶設定。
注意
您無法透過拒絕或移除針對回送原則所指定之計算機物件中的 AGP 和讀取許可權來篩選套用的使用者設定。
一般使用者組策略處理會指定位於其組織單位的計算機在計算機啟動期間依序套用 GPO。 無論登入的計算機為何,其組織單位中的用戶都會依序套用 GPO。
在某些情況下,此處理順序可能不適用。 例如,當您不想在使用者登入特定組織單位的計算機時,將已指派或發佈給組織單位中的使用者安裝應用程式時。 使用群組策略回送支援功能,您可以指定另外兩種方式,以擷取此特定組織單位中任何電腦的 GPO 清單:
合併模式
在此模式中,當使用者登入時,通常會使用 GetGPOList 函式收集使用者的 GPO 清單。 接著,使用 Active Directory 中的電腦位置,再次呼叫 GetGPOList 函式。 然後,計算機的 GPO 清單會新增至使用者的 GPO 結尾。 它會導致電腦的 GPO 優先順序高於使用者的 GPO。 在此範例中,計算機的 GPO 清單會新增至使用者的清單中。
取代模式
在此模式中,不會收集使用者的 GPO 清單。 只會使用以計算機物件為基礎的 GPO 清單。
資料收集
如果您需要Microsoft支援的協助,建議您遵循使用 TSS 收集組策略問題中的資訊中所述的步驟來收集資訊。