Group Policy Object（GPO）组策略用于对 OU 的限制

GPO 会继承。在 Group Policy Inheritance 面板查看。可以在子 OU 上禁止继承 GPO。在父 OU 上 Enforced 开启 Yes，就可以强制子 OU 继承 GPO

点击 GPO 时，可以查看 Scope 选项卡，里面展示了 GPO 链接到哪些 OU 上。

设置完 GPO 后，机器不会立即生效，会定时自动从域控 sysvol 共享中读取策略更新。

想立即生效要在目标机器上强制更新 GPO。

gpupdate /force

这个 sysvol 共享在域控目录。

%SystemRoot%\SSVOL\sysvol

组策略中以 AppLocker 限制为案例，限制 PowerShell 运行

“Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker”

域账户自动添加进本地 Administrators 组

有时候加域后使用普通域账户登录，就是普通用户权限，没有权限对本地计算机有管理权，比如以管理员运行就会弹出 UAC 框，要么输入域管理员账户 <Domain>\<UserName>，不然就是本地管理员 .\<UserName>。

有两种解决方案，一个是手动将当前登录的用户加入本地 Administrators 管理员组。加入后需注销重新登录才能获取权限。

net localgroup Administrators <Domain>\<UserName> /add

另一个是手动添加组策略，将某些用户添加到本地管理员组。