使用过滤器的组策略豁免

使用过滤器的组策略豁免

我设置了一项策略,强制屏幕保护程序在 7 分钟后锁定,提示输入密码。我发现有几台机器是例外。我制定了另一项策略,禁用属于特定组的设备的屏幕保护程序。我还设置了环回,因为屏幕保护程序策略是在用户组策略上,但我希望它应用于每台计算机。因此,使用过滤,我已将组策略应用于所有用户,除非您使用的是其中一台“豁免”机器。我在机器上运行 gpresult,它正在应用正确的策略,但是获取屏幕保护程序的策略首先应用,然后阻止了屏幕保护程序的禁用设置运行。有没有办法让计算机策略在用户策略之前运行?如果可以,如何做,有没有更好的方法来做到这一点?

答案1

如果您只需要计算机策略,Izzy 说的就很好。您正在寻找的是环回组策略处理。

与屏幕保护程序相关的策略设置是用户策略设置,因此您需要在新的或现有的 GPO 中启用环回组策略处理(计算机设置 - 管理模板 - 系统 - 组策略 - 用户组策略环回处理模式)以进行“合并”模式(以允许您的现有用户设置继续应用),该 GPO 已应用于需要“豁免”其他通用屏幕保护程序设置的计算机。如果您只希望此“豁免”应用于 GPO 所链接的 OU 下的计算机子集,请创建一个包含这些计算机的安全组,将其添加到包含此环回组策略处理的 GPO 并赋予其“读取”和“应用组策略”权限,从权限中删除“经过身份验证的用户”,并根据需要添加具有“读取”和“应用组策略”权限的“域用户”(更多内容见下文)。

完成此操作后,您需要设置必要的策略设置以“禁用”屏幕保护程序设置。这些是用户设置,您可以将它们放入打开环回组策略处理的同一 GPO 中。如果您使用设置环回组策略处理设置的同一 GPO您已将该 GPO 的应用程序过滤到安全组,请确保向该 GPO 添加具有“读取”和“应用组策略”权限的“域用户”,因为用户设置的实际应用发生在登录用户的上下文中,而不是计算机的上下文中。

重新启动其中一台“豁免”的计算机并尝试一下。

当这些“豁免”计算机启动时,它们将应用在“合并模式”下启用环回组策略处理的 GPO。这意味着,实际上,在应用所有正常用户 GPO 设置后,将进行第二次域传递,查找包含用户设置但适用于域的 GPO电脑对象在目录中的位置(将环回策略处理“合并模式”想象为在登录期间将用户对象的副本“神奇地”放入与计算机相同的容器中,从而将计算机上方的 GPO 中的任何用户设置也定位到用户)。

您可能还没有使用环回组策略处理,因此我上面描述的这种非常简单的方法可以正常工作。如果您已经在使用环回 GPO 处理,那么按安全组筛选“豁免”计算机就会变得有问题(超出了我愿意在本回答中描述的范围)。如果您已经在那里,您应该已经知道如何做您想做的事情……>微笑<

显然,我建议在对生产计算机/OU 执行此操作之前,先阅读环回组策略处理并使用测试 OU 中的临时计算机运行一些测试。在这种情况下,了解组策略客户端用于选择适用于用户/计算机的策略的算法,而不是仅仅依赖 GPMC“规划模式”等工具,是一个巨大的胜利。我会引导您阅读微软的一篇文章,但他们没有不糟糕的内容(即谈论 GPO 的“优先级”和其他类似的愚蠢行为,而不仅仅是详细解释算法……>叹息<)。

有一天(不是今天,凯尔!我今天没时间……)我会写一篇关于服务器故障算法的描述。

答案2

一个更简洁的方法是只将屏幕保护程序策略应用于应该有它的机器。这比将策略应用于所有机器然后试图撤销其中的一些策略要好。

您可以通过按安全组过滤 GPO 来执行此操作(例如屏幕保护程序已启用),然后将所有应该有屏幕保护程序 GPO 的计算机都设为屏幕保护程序已启用团体。


编辑

由于很少有对象不需要 GPO,因此创建一个名为屏幕保护程序已禁用,使目标计算机成为该组的成员,编辑屏幕保护程序 GPO 的安全性,添加组屏幕保护程序已禁用,然后选择否定为了应用组策略允许。

相关内容