将组策略应用到安全组

Question 1

将 GPO 添加到安全组的正确方法是：

通过添加预期成员（计算机或用户帐户）来配置组

创建您的 GPO 并将其链接至足够高的位置，以便它能够应用于所有预期对象

从 GPMC 的范围面板中删除“经过身份验证的用户”，并添加应应用它的组。您不必使用高级安全部分来执行此操作，而且这样做危险性较小（没有机会将自己锁定在外）。

如果您将 GPO 链接到域的顶部，请确保在编辑 GPO 之前设置过滤，以免它在所有地方应用。

如果是计算机策略，则将计算机添加到组后需要重新启动，否则当 GPO 刷新时，计算机尚未在新组中经过身份验证，因此不会应用 GPO。

Answer

将 GPO 添加到安全组的正确方法是：

通过添加预期成员（计算机或用户帐户）来配置组

创建您的 GPO 并将其链接至足够高的位置，以便它能够应用于所有预期对象

从 GPMC 的范围面板中删除“经过身份验证的用户”，并添加应应用它的组。您不必使用高级安全部分来执行此操作，而且这样做危险性较小（没有机会将自己锁定在外）。

如果您将 GPO 链接到域的顶部，请确保在编辑 GPO 之前设置过滤，以免它在所有地方应用。

如果是计算机策略，则将计算机添加到组后需要重新启动，否则当 GPO 刷新时，计算机尚未在新组中经过身份验证，因此不会应用 GPO。

Question 2

您不能将 GPO 应用于组 - 就像您说的那样，您可以将它们应用于计算机和用户对象。

您的计算机和用户对象都将被某处在您的 Active Directory 结构中，因此您应该将 GPO 直接应用于对象所在的 OU。

如果您的所有用户和计算机对象都只在其默认容器中，那么这可能是通过附加 OU 向您的 Active Directory 添加一些结构的好机会。

如果您想根据用户/计算机所属的安全组对 GPO 进行某种限制，您可以编辑每个 GPO 的安全属性并添加适当的组（即可以更改屏幕保护程序）并设置读允许否定。

Answer

您不能将 GPO 应用于组 - 就像您说的那样，您可以将它们应用于计算机和用户对象。

您的计算机和用户对象都将被某处在您的 Active Directory 结构中，因此您应该将 GPO 直接应用于对象所在的 OU。

如果您的所有用户和计算机对象都只在其默认容器中，那么这可能是通过附加 OU 向您的 Active Directory 添加一些结构的好机会。

如果您想根据用户/计算机所属的安全组对 GPO 进行某种限制，您可以编辑每个 GPO 的安全属性并添加适当的组（即可以更改屏幕保护程序）并设置读允许否定。

相关内容