我已经像这样设置了我的 WS2k8 R2 AD:
OU“OU1”包含一个名为“GROUP1”的安全组。我已将一些组策略应用于“OU1”。组策略已强制执行。
我的用户位于默认的“用户”OU 中。这些用户是组“GROUP1”的成员。
问题在于 GP 并未应用于用户。
如果我在“OU1”OU 中创建用户,则策略将按应有的方式应用。
非常感谢,詹姆斯
答案1
组策略不适用于这样的组。它适用于其所属 OU 内的计算机或用户对象。
如果您希望组策略仅应用于特定组,则需要将组策略附加到整个用户 OU,然后使用组策略过滤将其限制为您需要的用户组。
答案2
这是因为组策略是基于用户对象存在的位置不适用于用户所在的任何组。这是组策略对象最令人困惑的方面之一。名称中提到了组,显然它应该适用于组,对吧?不,至少不做额外的工作。为了让 GPO 适用于用户,必须在用户到域根目录的路径中的 OU 上设置它。
要进行设置以便组成员身份实际上强制应用 GPO,有一个过程可以实现此目的:
http://technet.microsoft.com/en-us/library/cc786636%28WS.10%29.aspx
这种方式有点不同,因为你必须将它应用于每个人,但你将其设置为只有特定组的成员才能真正执行它。因此,你会将它设置在用户的 OU 上,只有配置组的成员才能获得它。
答案3
您需要做的是在用户登录的计算机上启用 GPO 环回处理。环回处理强制将 GPO 应用于登录这些计算机的用户,无论用户对象位于 AD 中的何处。您可以在此知识库中找到更多详细信息: http://support.microsoft.com/kb/231287 。
答案4
您所看到的是默认行为。组策略是在 OU 级别设置的,并应用于该 OU 中的对象。组不会扩展以应用组策略。
最简单的解决方案可能是将用户移至 OU1 OU。您需要确保没有其他组策略专门应用于用户 OU。