我想确保 Windows 域中的某个组中有某些用户。我安装了“组策略管理”,可以打开林和域。但我不确定我在搜索什么。我可以选择指向组策略对象 (GPO) 的链接。在“设置”中,我看到了驱动器映射,并且我知道它们。但我如何显示使用此 GPO 的用户列表?右键单击,编辑... 已禁用。
网络组my_gpo
因为我不在 Windows 域控制器上,所以无法工作。有没有可能找出原因?
答案1
组策略和群组是完全不同的两件事。
是的,我知道这些名字容易让人误解。
组策略对象是链接到 Active Directory 中的一个或多个组织单位的一组策略;它们将影响该容器及以下的所有计算机和/或用户(有例外,但这是核心概念)。
顾名思义,组是用户、计算机或其他组的集合;它可以位于 AD 中的任何位置,其成员也可以位于任何位置。它主要用于安全性,因为为组分配权限比为每个单独的用户分配权限要容易得多(但它也可以用作使用 Exchange 的邮件分发列表)。
要管理组策略,您可以使用Group Policy Management Console
。
要管理组(或用户、计算机或一般的 Active Directory),您可以使用Active Directory Users and Computers
。
如果您需要检查谁是某个特定组的成员,ADUC 是正确的选择;GPMC 不会告诉您有关这方面的任何信息,因为这不是它的工作。
ADUC 始终存在于域控制器上,并且可以作为一项功能(AD DS 工具的一部分)安装在 Windows Server 系统上。
如果您想在客户端系统上使用它,您需要安装远程服务器管理工具。
附录:该net group
命令适用于群组,正如我上面所说,它们与 GPO 不同。运行 没有任何意义net group my_gpo
。
答案2
灰色的编辑按钮可能是由于权限问题引起的,请确保您具有编辑 GPO 的正确权限。
要查看受此 GPO 影响的用户,请检查“安全过滤”组。该组中的用户应该会受到您的 GPO 的影响(前提是他们位于正确的链接 OU 中)
答案3
我不太清楚您在问什么,但在 GPMC 中,您可以在左窗格中选择 GPO,并在右窗格的“范围”选项卡上查看其链接的位置,并查看正在对 GPO 应用哪些安全筛选。根据这些信息,您可以推断出哪些用户将根据他们在 AD 结构中的位置以及他们所属的安全组(他们是否在链接 GPO 的站点、域或 OU 中,以及他们是否在用于筛选 GPO 的组中)应用此策略。