技术QA：如何实现服务器或计算机OU上GPO代替用户OU上GPO的用户策略？ 推荐

引子：
突然下的一场雪，打乱了原定的工作计划，江苏的培训课程取消了，这才有了空闲的时间，写写最近的工作日志。

XX 公司今年的计划是部署终端服务，将原本要淘汰的旧计算机作为终端使用，实现资源的再利用。

做为 XX 公司的技术窗口，最近一直在协助做相关的测试。我们还是用技术QA 的方式来看看在测试过程解决的一系列问题。

Q：
用户有多个OU，如下所示：
OUA　--　终端服务器
OUB　--　用户
OUC　--　用户

每个OU都配置了相应的组策略，用户为了提高用户使用远程桌面登录终端服务时的速度，所以想用终端服务器OU上GPO的用户策略来代替用户OU上GPO的用户策略。

问：如何实现服务器或计算机OU上GPO代替用户OU上GPO的用户策略？

A：
我们可以在服务器或计算机OU的组策略对象（GPO）上启用环回处理，这样用户无论登录到那个服务器或计算机就会应用那个服务器或计算机上设置的组策略对象（GPO）。

环回处理组策略的位置位于：
计算机配置\管理模版\系统\组策略\用户组策略环回处理模式

这个设置指导系统将计算机的组策略对象集应用到任何登录到受这个设置影响的计算机上的用户。这是专为特殊用途计算机使用的。特殊用途计算机包括公共场所、实验室和教室中的计算机；您必须根据使用的计算机修改用户设置。

按默认值，用户的组策略对象决定哪些用户设置适用。如果这个设置被启用，当用户登录到这个计算机上时，计算机的组策略对象决定哪个组策略对象集适用。

要适用这个设置，从“模式”对话框中选择下列一个设置模式:
--“替换”表示这台计算机的组策略对象中定义的用户设置替换通常应用于用户的用户设置。
--“合并”表示这台计算机的组策略对象中定义的用户设置和通常应用于用户的用户设置被组合在一起。如果设置相冲突，这台计算机的组策略对象中的用户设置优先于用户的通常设置。

如果停用或不配置这个设置，用户的组策略对象决定哪个用户设置适用。

注意: 这个设置只在计算机帐户和用户帐户都在 Windows 2000 域中才有效。
更多相关信息，请参考下面的文档：
231287：组策略环回处理
]http://support.microsoft.com/kb/231287/

附：相关的测试报告

测试目的：
在企业中有多个OU并且配置不同的GPO，实现服务器或计算机上GPO代替用户OU上GPO。

测试环境：
如下图所示，在组织单元UCOM下有两个OU，分别是：Computer和User，其中在组织单元Computer下有一个计算机帐户：Client，在组织单元User下有一个用户帐户：Andy。



测试步骤：
首先我们在 [组策略管理] 工具中创建两个组策略对象（GPO）对象：Computer和User，分别的设置如下图所示：





把设置好的组策略对象（GPO）链接到相应的组织单元（OU），如下图所示：



分别在计算机DC和Client上使用“gpupdate /force”强制刷新应用组策略后，用户Andy在计算机Client上登录，看到的界面如下：



在 [组策略管理] 工具中的组策略结果如下图所示，我们可以看到目前应用的组策略对象（GPO）为：User。



测试“替换”模式：我们在组策略对象（GPO） Computer中启用“用户组策略环回处理模式”，从“模式”对话框中选择“替换”模式，如下图所示：





分别在计算机DC和Client上使用“gpupdate /force”强制刷新应用组策略后，用户Andy在计算机Client上再次登录，看到的界面如下：



重新查询 [组策略管理] 工具中的组策略结果集后，如下图所示，我们可以看到目前应用的组策略对象（GPO）为：Computer。



测试“合并”模式：我们再来测试一下启用环回策略的“合并”选项，在组策略对象（GPO） Computer中已启用的“用户组策略环回处理模式”，从“模式”对话框中选择“合并”模式，如下图所示：





分别在计算机DC和Client上使用“gpupdate /force”强制刷新应用组策略后，用户Andy在计算机Client上再次登录，看到的界面如下：



重新查询 [组策略管理] 工具中的组策略结果集后，如下图所示，我们可以看到目前应用的组策略对象（GPO）为：Computer和User。



-- 每个QA都汇集众多微软工程师的心血，在此由衷的向他们表示感谢！