将各种组策略设置应用于多个用户组的正确方法是什么?
场景示例:Windows Server 2008,域“CompanyName”。假设所有用户都使用漫游配置文件在所有 PC 之间切换。
GP = 组策略,GPO = 组策略对象,OU = 组织单位。
我的主用户 OU 内有两个 OU,如下所示:
CompanyName Users
Standard Users
UserA
UserB
Power Users
UserC
UserD
对于标准用户,我希望禁用控制面板。通过将 GPO 应用于该 OU,我可以实现此目的。
对于高级用户,我希望将背景设置为某张图片。我也能实现。
问题就出在这里,UserA 和 UserC 都使用一个需要某些防火墙设置的程序,我想通过 GP 应用这些设置。将此 GPO 放在主 OU(CompanyName 用户)中,然后过滤可应用的用户,我认为应该可行。但这是正确的做法吗?
解决此问题的正确/最佳方法是什么? 有没有更好的方法来安排我的 OU?
答案1
这并不像您想象的那么难,首先您需要为用户 A、B、C、D 创建单独的组并将每个用户添加到其相应的组,接下来您需要做的是在您需要应用的 OU 下创建一个 GPO,然后将策略分配给特定组。删除默认情况下经过身份验证的用户并应用 GP,然后在选定的 GPO 上添加适当的组,这样 GP 将仅适用于您添加的组,它将忽略不在您添加的组中的任何其他组。例如,如果您创建了一个策略来限制对控制面板的访问并将其应用于组 A,则如果组 B 加入,它将不受限制,因为它不是由 GPO 应用于它的,因为您只添加了组 A。