我在登录脚本中使用 VBScript 来映射网络驱动器。我知道应该通过将 (GPO) 链接到 Active Directory 容器 (OU) 来将组策略应用于单个用户帐户和计算机帐户。我不知道的是如何将组策略应用于其中只有组的 OU?
答案1
将 GPO 添加到安全组的正确方法是:
通过添加预期成员(计算机或用户帐户)来配置组
创建您的 GPO 并将其链接至足够高的位置,以便它能够应用于所有预期对象
从 GPMC 的范围面板中删除“经过身份验证的用户”,并添加应应用它的组。您不必使用高级安全部分来执行此操作,而且这样做危险性较小(没有机会将自己锁定在外)。
如果您将 GPO 链接到域的顶部,请确保在编辑 GPO 之前设置过滤,以免它在所有地方应用。
如果是计算机策略,则将计算机添加到组后需要重新启动,否则当 GPO 刷新时,计算机尚未在新组中经过身份验证,因此不会应用 GPO。
答案2
您不能将 GPO 应用于组 - 就像您说的那样,您可以将它们应用于计算机和用户对象。
您的计算机和用户对象都将被某处在您的 Active Directory 结构中,因此您应该将 GPO 直接应用于对象所在的 OU。
如果您的所有用户和计算机对象都只在其默认容器中,那么这可能是通过附加 OU 向您的 Active Directory 添加一些结构的好机会。
如果您想根据用户/计算机所属的安全组对 GPO 进行某种限制,您可以编辑每个 GPO 的安全属性并添加适当的组(即可以更改屏幕保护程序)并设置读允许否定。