组策略的环回处理

本文可帮助你解决当用户登录到特定组织单位中的计算机时应用组策略环回函数的问题。

适用于： Windows Server 2012 R2
原始 KB 编号： 231287

摘要

组策略适用于用户或计算机的方式取决于用户和计算机对象在 Active Directory 中的位置。在某些情况下，用户可能需要单独基于计算机对象的位置对其应用策略。可以使用组策略环回功能将仅依赖于用户登录的计算机组策略对象 (GPO) 应用。

若要设置每台计算机的用户配置，请执行以下步骤：

此策略指示系统将计算机的 GPO 集应用于登录到受此策略影响的计算机的任何用户。此策略适用于特殊用途计算机，在这些计算机中，必须基于正在使用的计算机修改用户策略。例如，公共区域、实验室和教室中的计算机。

注意

仅在 Active Directory 环境中支持环回。计算机帐户和用户帐户都必须位于 Active Directory 中。如果 Microsoft Windows NT基于 4.0 的域控制器管理任一帐户，则环回不起作用。客户端计算机必须是运行以下操作系统之一：

当用户在自己的工作站上工作时，你可能希望根据用户对象的位置应用组策略设置。因此，建议根据用户帐户所在的组织单位配置策略设置。当计算机对象驻留在特定组织单位时，应根据计算机对象的位置而不是用户对象来应用策略的用户设置。

注意

无法通过拒绝或删除为环回策略指定的计算机对象中的 AGP 和读取权限来筛选应用的用户设置。

普通用户组策略处理指定位于其组织单位的计算机在计算机启动期间按顺序应用 GPO。其组织单位中的用户在登录期间按顺序应用 GPO，而不管他们登录到哪台计算机。

在某些情况下，此处理顺序可能不合适。例如，当你不希望在用户登录到特定组织单位中的计算机时安装已分配给其组织单位中的用户或已发布的应用程序时。使用组策略环回支持功能，可以指定另外两种方法来检索此特定组织单位中计算机的任何用户的 GPO 列表：

合并模式

在此模式下，当用户登录时，通常使用 GetGPOList 函数收集用户的 GPO 列表。然后，使用计算机在 Active Directory 中的位置再次调用 GetGPOList 函数。然后，计算机的 GPO 列表将添加到用户的 GPO 末尾。它会导致计算机的 GPO 的优先级高于用户的 GPO。在此示例中，计算机的 GPO 列表将添加到用户的列表中。
替换模式

在此模式下，不会收集用户的 GPO 列表。仅使用基于计算机对象的 GPO 列表。