win2003的组策略冲突

云台

我在domain上设置的组策略中 的 用户策略 有 Dont run specified Windows Applition  限制了a.exe b.exe
然后再domain 下面一个Sub OU（此Sub OU中只有一个用户组 属于安全组）中 也有一个组策略 Dont run specified Windows Applition   限制了a.exe b.exe 和c.exe
除此外 没有在任何组策略上设置过 禁止替代和 阻止继承。

按照 我的理解 这样设置如果策略有冲突的话 应该是sub ou中应用的策略会最后执行也就是会生效。这样整个domain中的user都不能运行a.exe b.exe。然后此 Sub ou中用户除了a.exe b.exe 还不能运行c.exe.做好后也没有认真测试 今天才发现居然没有效果。

Sub OU中的用户除了不能运行a.exe b.exe 外，还照样能运行c.exe 也就是说domain的策略生效了 而针对Sub OU的策略却被ignore了，这样不符合MS的 GPO策略吧？ 还是我哪里理解出了问题， 请各位大虾赐教！！

tdk

顶一下

nickren

请检查调试策略继承选项

云台

先谢谢 2 楼 3楼的答复。
问题已经在我反复测试中得到解决。现把最终原因告诉大家。
首先 并不是策略继承和禁用等方面的冲突造成的。
后来 等我把一个用户帐号从一个ou 直接move到要做严格程序限制的ou中时 它居然马上生效了。我于是把所有要进行严格限制的用户帐号都move过去，于是全部生效。想要达到的效果就实现了。
有个问题 想不明白。 在这样做以前 我没有把所有用户帐号move过去 而是在需要严格程序限制的ou中建立了一个安全组 然后把需要进行限制的用户帐号加入到这个组中 为什么这个时候就不能生效呢？

colaandice

看来对组的应用 有点慢
问楼主，是慢生效，还是不生效

deanlee88

GPO 是套用于OU ，而不是组！

deanlee88

GPO 是套用于OU ，而不是组！

deanlee88

GPO 是套用于OU ，而不是组！

云台

具体说是对ou中唯一的一个用户组 进行gpo设置. 结果不是慢生效,而是根本就不生效.
但把拥护组中包含的用户帐号全部拖到此ou下以后 gpo变开始生效了. btw 我的gpo中只有针对用户设置的配置.