Active Directory GPO 排除用户

Active Directory GPO 排除用户

我想为域中的所有用户设置一条规则。该规则在 15 分钟后打开屏幕保护程序,然后用户必须使用密码才能再次登录。

一切正常,但我需要排除属于该组的一名用户。我该怎么做?

答案1

您需要创建一个组并将所有您希望应用策略的用户添加到该组,并将该用户排除在该组之外(不要将其添加到该组中),接下来要做的就是将该策略应用于您创建的组,该组包含您通过删除经过身份验证的用户并将其替换为您创建的组而添加到该组的所有用户。

答案2

user673956 的回答是推荐的路线。仅添加您希望该策略适用的用户。

还有另一种方法。您可以让策略适用于人员,然后更改策略的权限以拒绝特定人员(或组或计算机帐户)的访问。 微软知识库 816100提供分步说明。

有一个关键原因是user673956 的回答是首选。拒绝权限具有更高的优先级,可以覆盖允许权限。如果您确实添加了拒绝权限,则没有更高优先级的权限可以覆盖拒绝权限。例如,如果您有更多不想让策略应用的用户,并将他们放入一个组中,并拒绝访问该组,则没有简单的方法可以只为该组中的一名成员添加另一个权限来覆盖策略。

作为一般做法,如果您花时间只将政策应用于您真正希望它应用的人,那么您就不会陷入困境,无法找到任何简单直接的方法来解决问题,从而产生不想要的效果。谨慎地将政策仅应用于您希望它应用的人可能会在短期内花费更多时间,但最终能够发挥良好的作用。

(当我讨论什么是首选时,我的讨论主要基于我接受过的一些培训,涉及微软发布的一份出版物。它可能是与 Windows Server 2003 相关的官方指南。)

我认为,从理论上讲,这种方法也能加快速度,因为最终用户的计算机不需要尝试获取某项策略,而只是发现它本来就不应该应用。

但是,拒绝特定策略的权限可以更快地实施,尤其是对于较小网络上的单个用户而言。因此,如果您真的认为您想走这条路,那么这绝对是一个可用的选项。这是 Microsoft 确实在某些官方培训材料中教授的一个选项,因此,如果您确定这对您最有意义,请继续(谨慎决定)使用该选项。

相关内容