我是一名开发人员,并不是一名服务器管理员,但是我正在从事一个项目,该项目要求我构建在 Windows 2003 域环境中运行的代码,并使用 XP 客户端机器,因此我需要设置一个测试环境。
我已经设置了虚拟服务器和虚拟客户端。我在服务器上全新安装了 Windows 2003 R2,在客户端上安装了 XP SP3。我将服务器设置为 Active Directory 域控制器和 DNS 服务器。我设置了新的林和域,然后添加了新的组织单位,在其中创建了一个测试用户帐户。然后在客户端上,我将机器添加到域中,看到欢迎消息,然后继续使用我的测试用户帐户登录。一切正常 :-)
然后,我稍微调整了一下,让帐户使用强制配置文件,这也进展顺利,并且运行良好。
现在我的问题是:我需要能够将受限策略应用于客户端帐户,以删除控制面板、我的电脑、“运行...”选项等等。我下载了组策略管理工具,然后将我的组织单位配置为具有新的组策略。然后我编辑了策略,禁用对各种内容的访问。我登录了客户端,但没有看到任何变化。无论我尝试多少次,似乎都无法使策略设置影响测试帐户。我尝试在客户端上运行 GPUPDATE,注销并登录,但似乎没有任何效果。我认为我对强制配置文件的修改可能会产生一些影响,所以我在同一个组织单位内创建了一个新用户,但如果我登录,那么这个新帐户似乎也可以访问我限制的内容。
我一直在阅读文章并试图解决这个问题,但我开始感到有点不知所措,因为我原本以为这是一个相当简单的任务。有人能帮我了解我错在哪里吗?
谢谢。
答案1
用户的用户帐户是否位于您将 GPO 链接到的 OU 中?GPO 适用于其路径中的对象(管理范围)。
您需要将用户帐户移至 OU,或者您可以将 GPO 链接到域而不是 OU,并将用户帐户保留在默认的用户容器中。两种方法都可以,但最好通过将用户帐户移至 OU 来将 GPO 定位到您的特定用户。