我有两项政策应该修改设置,但它们似乎没有按照我认为应该的方式进行处理。
这两项策略控制开始菜单设置上管理工具的可见性。
显示管理工具:
- 仅适用于域管理员,不适用于其他任何人
- 仅链接在根目录
- 链接顺序位置 = 1
隐藏管理工具:
- 适用于经过身份验证的用户
- 仅链接在根目录
- 链接顺序位置 = 2
没有环回处理、不强制执行策略且不阻止继承。
当以管理员身份运行 gpupdate 时...“开始”菜单上不显示“管理工具”链接。如果手动打开它,则在刷新 GP 时会再次删除它。检查计算机上的组策略结果会显示三个 GPO 应用程序,顺序如下:首先是经过身份验证的用户 GPO,然后是域管理员 GPO,然后是经过身份验证的用户 GPO。
不幸的是,由于安全问题,我无法提供 GP 结果的图表。
有人能解释一下为什么经过身份验证的用户 GPO 会最后应用吗,即使它已经应用,并且链接顺序似乎表明显示工具策略应该优先?如何使用组策略为管理员显示管理工具,并为其他所有人隐藏它们?
答案1
“如何使用组策略向管理员显示管理工具,并对其他所有人隐藏它们?”
在 Hide_Admin_Tools GPO 上为域管理员的“应用组策略”添加拒绝 ACE。
答案2
另外,请检查您是否没有强制执行一个或多个策略(图标上的黄色锁),这是没有必要的(我不确定它如何改变优先级)。此外,谷歌组策略环回处理。我不知道它到底有什么用(因为在大多数情况下它不是必需的),但它也会影响优先级,所以你可能想确保它被关闭。