我被赋予了清理 ADUC/组策略的任务。
由于所有东西都以令人困惑的方式组合在一起,所以相当令人畏惧。它似乎是用“试试这个,没用,不用担心删除它,只需试试这个,冲洗/重复”的方法组合起来的。
继续。我已经按照自己喜欢的方式组织了用户。但在开始向安全组删除/添加对象之前,我想看看他们继承了哪些策略。我这样做是希望我看到的这些垃圾是有道理的。
换句话说:我如何知道哪些策略被应用于特定的安全组?
答案1
你想要的是通用机械委员会- 组策略管理控制台。它允许您运行用户和计算机报告,以查看“RSOP”或策略结果集是什么。
答案2
策略不适用于安全组(它们用于安全设置,而不是策略);策略通过组/OU 成员身份应用。
如果您编辑特定策略,则在组策略对象编辑器中,您可以右键单击策略名称并选择属性。然后在链接选项卡中,您可以使用“立即查找”按钮来确定该策略适用于哪个策略组/OU。
获得组策略管理控制台如果您还没有,请从 MS 下载。它将使它很多哪些政策适用于哪些群体更加明显。
您还可以在工作站上使用 RSOP.MSC 来确定策略如何影响该工作站/用户。
希望有帮助...
答案3
全局组通常用作组策略的过滤器。我来这里是为了寻找最初问题的答案,但发现给出的答案没有什么帮助。我们的环境有数百个 GPO 和数百个全局组(安全组),所以我希望其他人能找到答案……是时候复习一下 powershell 技能了!
从技术上讲,策略是根据以分层方式定义的规则集应用的。我们目前主要根据全局组成员身份进行过滤。此方法的主要限制是操作发生在用户安全上下文中。我们还使用 WMI 过滤器对计算机级别更改的用户目标设置进行过滤。计算机更改通常在没有全局组过滤器的情况下完成,以便它们可以在计算机安全上下文中运行。在企业范围内,基于计算机/OU 的成员身份很难维护。