网络目录服务：实现组策略

3、以用户Acctuser1和Acctuser2分别在域中任一台工作站上登录到域中，均可以看到其工作桌面出现了“我的文档”及当使用“Ctrl+Alt+Del”时的有【任务管理器】选项。。表明子OU阻止了父OU的所有GPO设置。

² 启用禁止替代

1、在【Active Directory 用户和计算机】管理控制台中，右击Accounts OU，然后单击【属性】菜单。在出现的属性对话框对话框中，选择【组策略】标签。

2、在【组策略对象链接】列表中，右击“Enforced User Policies”，在出现的上下文件菜单中，单击【禁止替代】。然后单击【应用】按钮，并关闭所有窗口。如图所示。

3、以用户Acctuser1和Acctuser2分别在域中任一台工作站上登录到域中，可以看到其工作桌面出现了“我的文档”及当使用“Ctrl+Alt+Del”时的无【任务管理器】选项。。表明子OU仅阻止了父OU的“Restricted Standard Desktop” 的设置。而“Enforced User Policies”的由于启用了禁止替代得以强制继承。

6.4.2 安全组筛选

您可以通过指定所选 GPO 应用于安全组的方式，优化任何 GPO 对用户或计算机产生的影响。为此，请使用 GPO【属性】页上的【安全】选项卡来设置 DACL。主要出于性能方面的原因使用 DACL，但此功能在设计和部署 GPO 及其包含的策略方面具有非常大的灵活性。

安全组筛选具有两个功能：第一个功能是修改受特定 GPO 影响的组；第二个功能是委派可修改 GPO 内容的管理员组，限制“完全控制”权限，仅将其授予一组有限的管理员（按组）。第二个功能是推荐功能，因为它可以减少多个管理员同时进行更改的可能性。