技術QA：如何實現服務器或計算機OU上GPO代替用戶OU上GPO的用戶策略？

引子：

突然下的一場雪，打亂了原定的工作計劃，江蘇的培訓課程取消了，這纔有了空閒的時間，寫寫最近的工作日誌。

XX 公司今年的計劃是部署終端服務，將原本要淘汰的舊計算機作爲終端使用，實現資源的再利用。

做爲 XX 公司的技術窗口，最近一直在協助做相關的測試。我們還是用技術QA 的方式來看看在測試過程解決的一系列問題。

Q：
用戶有多個OU，如下所示：

OUA　--　終端服務器
OUB　--　用戶
OUC　--　用戶

每個OU都配置了相應的組策略，用戶爲了提高用戶使用遠程桌面登錄終端服務時的速度，所以想用終端服務器OU上GPO的用戶策略來代替用戶OU上GPO的用戶策略。

問：如何實現服務器或計算機OU上GPO代替用戶OU上GPO的用戶策略？

A：
我們可以在服務器或計算機OU的組策略對象（GPO）上啓用環回處理，這樣用戶無論登錄到那個服務器或計算機就會應用那個服務器或計算機上設置的組策略對象（GPO）。

環回處理組策略的位置位於：
計算機配置\管理模版\系統\組策略\用戶組策略環回處理模式

這個設置指導系統將計算機的組策略對象集應用到任何登錄到受這個設置影響的計算機上的用戶。這是專爲特殊用途計算機使用的。特殊用途計算機包括公共場所、實驗室和教室中的計算機；您必須根據使用的計算機修改用戶設置。

按默認值，用戶的組策略對象決定哪些用戶設置適用。如果這個設置被啓用，當用戶登錄到這個計算機上時，計算機的組策略對象決定哪個組策略對象集適用。

要適用這個設置，從“模式”對話框中選擇下列一個設置模式:

--“替換”表示這臺計算機的組策略對象中定義的用戶設置替換通常應用於用戶的用戶設置。
--“合併”表示這臺計算機的組策略對象中定義的用戶設置和通常應用於用戶的用戶設置被組合在一起。如果設置相沖突，這臺計算機的組策略對象中的用戶設置優先於用戶的通常設置。

如果停用或不配置這個設置，用戶的組策略對象決定哪個用戶設置適用。

注意: 這個設置只在計算機帳戶和用戶帳戶都在 Windows 2000 域中才有效。

更多相關信息，請參考下面的文檔：

附：相關的測試報告

測試目的：
在企業中有多個OU並且配置不同的GPO，實現服務器或計算機上GPO代替用戶OU上GPO。

測試環境：
如下圖所示，在組織單元UCOM下有兩個OU，分別是：Computer和User，其中在組織單元Computer下有一個計算機帳戶：Client，在組織單元User下有一個用戶帳戶：Andy。

測試步驟：

首先我們在 [組策略管理] 工具中創建兩個組策略對象（GPO）對象：Computer和User，分別的設置如下圖所示：

把設置好的組策略對象（GPO）鏈接到相應的組織單元（OU），如下圖所示：

分別在計算機DC和Client上使用“gpupdate /force”強制刷新應用組策略後，用戶Andy在計算機Client上登錄，看到的界面如下：

在 [組策略管理] 工具中的組策略結果如下圖所示，我們可以看到目前應用的組策略對象（GPO）爲：User。

測試“替換”模式：我們在組策略對象（GPO） Computer中啓用“用戶組策略環回處理模式”，從“模式”對話框中選擇“替換”模式，如下圖所示：

分別在計算機DC和Client上使用“gpupdate /force”強制刷新應用組策略後，用戶Andy在計算機Client上再次登錄，看到的界面如下：

重新查詢 [組策略管理] 工具中的組策略結果集後，如下圖所示，我們可以看到目前應用的組策略對象（GPO）爲：Computer。

測試“合併”模式：我們再來測試一下啓用環回策略的“合併”選項，在組策略對象（GPO） Computer中已啓用的“用戶組策略環回處理模式”，從“模式”對話框中選擇“合併”模式，如下圖所示：

分別在計算機DC和Client上使用“gpupdate /force”強制刷新應用組策略後，用戶Andy在計算機Client上再次登錄，看到的界面如下：

重新查詢 [組策略管理] 工具中的組策略結果集後，如下圖所示，我們可以看到目前應用的組策略對象（GPO）爲：Computer和User。

-- 每個QA都彙集衆多微軟工程師的心血，在此由衷的向他們表示感謝！