Řešení konfliktů objektů zásad skupiny (GPO) a zásad Microsoft IntuneResolve Group Policy Objects (GPO) and Microsoft Intune policy conflicts

Platí pro: Intune v klasickém portáluApplies to: Intune in the classic portal
Hledáte dokumentaci o Intune na Azure Portalu?Looking for documentation about Intune in the Azure portal? Přejděte sem.Go here.

Intune používá zásady, které vám pomůžou spravovat nastavení na počítačích s Windows.Intune uses policies that help you manage settings on Windows PCs. Pomocí zásad můžete třeba na počítačích řídit nastavení brány Windows Firewall.For example, you can use a policy to control settings for the Windows Firewall on PCs. Mnohá nastavení služby Intune se podobají nastavením, která nejspíš konfigurujete pomocí zásad skupiny Windows.Many Intune settings are similar to settings that you might configure with Windows Group Policy. Někdy se ale může stát, že se tyto dvě metody dostanou vzájemně do konfliktu.However, it is possible that, at times, the two methods might conflict with each another.

V případě konfliktu mají před zásadami Intune přednost zásady skupiny na úrovni domény mimo případů, kdy se počítač nemůže přihlásit do domény.When conflicts happen, domain-level Group Policy takes precedence over Intune policy, unless the PC can’t sign in to the domain. V takovém případě se na klientském počítači použijí zásady Intune.In this case, Intune policy is applied to the client PC.

Co je potřeba udělat, když používáte zásady skupinyWhat to do if you are using Group Policy

Zkontrolujte, že žádné zásady, které používáte, nejsou spravované zásadami skupiny.Make sure that policies that you apply are not being managed by Group Policy. Abyste lépe zabránili konfliktům, můžete využít některé z těchto metod:To help prevent conflicts, you can use one or more of the following methods:

  • Před instalací klienta Intune přesuňte počítače do organizační jednotky služby Active Directory, u které se nepoužívá nastavení zásad skupiny.Move your PCs to an Active Directory organizational unit (OU) that does not have Group Policy settings applied before you install the Intune client. V organizačních jednotkách obsahujících počítače zaregistrované v Intune, u kterých nechcete používat nastavení zásad skupiny, můžete taky zablokovat dědičnost zásad skupiny.You can also block Group Policy inheritance on OUs that contain PCs enrolled in Intune to which you do not want to apply Group Policy settings.

  • Pomocí filtru skupiny zabezpečení omezte objekty GPO jenom na počítače, které nespravuje Intune.Use a security group filter to restrict GPOs only to PCs that are not managed by Intune.

  • Zakažte nebo odeberte objekty zásad skupiny, které jsou v konfliktu se zásadami Intune.Disable or remove the Group Policy Objects that conflict with the Intune policies.

Další informace o službě Active Directory a zásadách skupiny Windows najdete v dokumentaci k Windows Serveru.For more information about Active Directory and Windows Group Policy, see your Windows Server Documentation.

Jak filtrovat stávající objekty GPO, aby nedocházelo ke konfliktům se zásadami IntuneHow to filter existing GPOs to avoid conflicts with Intune policy

Pokud jste našli objekty GPO s nastavením, které je v konfliktu se zásadami Intune, můžete pomocí filtrů skupiny zabezpečení omezit tyto objekty zásad skupiny jenom na počítače, které nespravuje Intune.If you have identified GPOs whose settings conflict with Intune policies, you can use security group filters to restrict those GPOs only to PCs that are not managed by Intune.

Můžete použít objekty zásad skupiny jenom na skupiny zabezpečení, které jsou pro vybraný objekt zásad skupiny zadané v oblasti Filtrování zabezpečení konzoly pro správu zásad skupiny.You can apply GPOs to only those security groups that are specified in the Security Filtering area of the Group Policy Management console for a selected GPO. Objekty zásad skupiny se ve výchozím nastavení používají pro skupinu Authenticated Users.By default, GPOs apply to Authenticated Users.

  • V modulu snap-in Uživatelé a počítače služby Active Directory vytvořte novou skupinu zabezpečení obsahující účty počítačů a uživatelské účty, které nechcete spravovat pomocí Intune.In the Active Directory Users and Computers snap-in, create a new security group that contains computers and user accounts that you do not want Intune to manage. Vaši skupinu můžete třeba pojmenovat Není v Microsoft Intune.For example, you might name the group Not In Microsoft Intune.

  • V konzole pro správu zásad skupiny klikněte na kartě Delegování pro vybraný objekt zásad skupiny pravým tlačítkem na novou skupinu zabezpečení a udělte uživatelům i počítačům v této skupině zabezpečení příslušná oprávnění Číst a Používat zásady skupiny.In the Group Policy Management console, on the Delegation tab for the selected GPO, right-click the new security group to delegate appropriate Read and Apply Group Policy permissions to both users and computers in the security group. (OprávněníPoužívat zásady skupiny jsou dostupná v dialogovém okně Upřesnit .)(Apply Group Policy permissions are available on the Advanced dialog box.)

  • Pak u vybraného objektu zásad skupiny použijte nový filtr skupin zabezpečení a odeberte výchozí filtr Authenticated Users.Then, apply the new security group filter to a selected GPO, and remove the Authenticated Users default filter.

S novou skupinou zabezpečení se musí ve změnách služby Intune nakládat jako s registrací.The new security group must be maintained as enrollment in the Intune service changes.

Související témataSee also

Správa počítačů s Windows pomocí IntuneManage Windows PCs with Microsoft Intune