我有 5 台服务器需要锁定,这样 C 盘就只能被读取,其他几台服务器则始终需要完全管理员访问权限。然而,有必要让用户在 5 台始终被锁定的服务器中请求访问权限,并将其移至该服务器的已批准安全组中。
我为每台服务器创建了一个 OU 组,该 OU 内有一个已批准和已拒绝的策略以及一个已批准的安全组和一个已拒绝的安全组。我已从每项策略中删除了经过身份验证的用户,并仅应用了与策略和服务器相关的安全组。
我面临的问题是,
如果我将用户分配给服务器 1 的拒绝组和服务器 2 的批准安全组 - 服务器 2 的批准权限也将应用于服务器 1。用户属于多少个受限组并不重要,如果我应用其中 1 个批准组,它将应用于所有服务器。
我已将每项政策设置为强制执行和链接,并按以下顺序列出它们。
- 服务器 1 被拒绝
- 服务器2被拒绝
ETC..
服务器1已批准
- 服务器已批准
- ETC...
希望这是一件简单的事情,所以如果这是一件愚蠢的事情,我很抱歉 - 遗憾的是我已经有一段时间没有使用组策略了。
谢谢
答案1
我猜您正在使用组策略,这样您就不需要在每台服务器上单独设置组成员身份了?例如,您可以通过为每台服务器设置一个“管理”全局组和为每台服务器设置一个“非管理”组来实现您想要做的事情。然后可以在构建时将管理组放置在服务器上的管理员本地组中,而将非管理组放置在服务器上的本地用户组中。然后可以为这两个组分配“允许本地登录”权限。
但是,如果您使用带有“本地用户和组”选项的 GPO 首选项,我个人会创建五个 GPO 首选项策略,每个策略都有一个 WMI 过滤器,以确保该策略仅适用于给定的服务器。
然后,您就可以从中心位置实现上述目标,而不受“构建时”的限制......
希望这可以帮助。