问如何用另一个GPO覆盖GPO？

EN

是的，当然，这是组策略层次结构的基础。组策略按以下顺序应用：

1. 本地组策略(基于客户端计算机-此策略未连接到AD组策略)
2. 站点级策略
3. 域级策略
4. OU级政策

在后一个3中，每个“级别”可以有多个GPO，它们的顺序由系统管理员决定。这被称为“链接顺序”，最小的数字是最后处理的，这意味着策略有最终的发言权。

OU策略从“根”开始应用，然后向下应用，如果这有意义的话。

这里有一些关于这一主题的很好的解读：

http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx

至于如何实际处理个别的一般专业人员，这要视乎政策本身而定，但一般来说，他们有以下三种选择：

• 已启用
• 已禁用
• 未配置

所发生的一切是，执行的最后一项策略将对最终设置进行最后的“说”。除了不进行任何更改的“”之外。在创建新的GPO时，“未配置”是组策略中所有选项的默认选项。

因此，如果当前策略的设置为“已启用”，则需要创建具有“禁用”设置的GPO。

除了已经发布的答案之外，您还可以将GPO链接到域(而不是创建OU，将计算机对象移动到此OU，并将GPO链接到此OU)，并使用安全筛选过滤GPO，使其只适用于所需的计算机。您只需设置此GPO的链接顺序高于其他GPO(禁用该设置的GPO)。

我建议为受影响的计算机创建一个组，将计算机对象添加到此组中，创建并链接GPO，设置GPO的链接顺序，并配置此GPO的安全筛选以仅应用于为这些计算机创建的组。

是的，应用组策略的顺序取决于它们在Active Directory结构中的位置，遵循LSDO命令(本地、站点、域、组织单元)。

因此，如果在域级别应用域计算机策略，则可以在OU级别应用另一个包含要重写设置的主机的策略。OU级别的策略将覆盖任何重复设置。