我想为 Active Directory 用户创建软件部署 GPO。添加到 Active Directory 的每台新计算机都出现在名为“计算机”的容器中(在 Active Directory 用户和组中),我想使用此“计算机”容器对 GPO 进行安全过滤,以便添加到 AD 的每台新 PC 都将获得软件部署 GPO,而我不必为每台新 PC 手动添加它。我注意到我不能使用“计算机”容器作为安全过滤的对象,我不知道该用什么来避免手动将新 PC 添加到 GPO。
以下是一些屏幕截图,以便更好地理解我想要做的事情:
答案1
我认为您混淆了 GPO 安全过滤和 GPO 层次范围。安全过滤 ACL 仅处理帐户和团体,永远不会与容器关联。另一方面,GPO 可以直接链接到任何 OU 之下(但不能链接到内置容器之下),而无需安全过滤。组和容器不是一回事。
因此,如果您希望将 GPO 应用于所有计算机,则根本不需要处理安全过滤。默认GPO 安全过滤 ACL 已允许将 GPO 应用于任何用户和任何计算机。(您可能不必要地删除了这些。)
Domain Computers
(但如果由于某种原因您希望 GPO 只能由机器帐户访问而不能由用户直接访问,那么您可以使用所有机器帐户所属的内置组。)
就像您已经为用户建立了组织单位一样,您也应该为计算机执行相同的操作 - 不要简单地将它们全部转储到“计算机”容器下...如果必须将 GPO 应用于所有 PC,则只需将其链接到域根目录,但如果必须仅将其应用于特定 PC,请将它们移动到各自的 OU 并将策略链接到该 OU 下。