我创建了一个包含 2 个 VM 的测试域来进行实验并尝试使用 Server 2008(+GPO、OU、ADUC 等)获取一些知识,但是我遇到了一些困难。
我创建了一个名为 的 OU User Policies
,并在该 OU 内链接了一个名为 的 GPO Menu Lock Down
。想法很简单,就是创建一个“测试”OU,锁定“开始”菜单,这样该 OU 内的用户就无法使用各种选项,如“运行”和“网络”设置。
这就是我陷入困境的地方。我创建了一个安全组User Policies
(通过 ADUC),并向该组添加了几个用户(Guest),但无论出于何种原因,该组的策略都不适用于相关用户。只有当用户本身通过 ADUC 位于 OU 中时,它们才适用于用户。
我的问题是,有没有办法将安全组链接到 OU,以便如果我想让新用户对“开始”菜单具有相同的受限访问权限,我只需将该用户添加到安全组?
答案1
您无法将组策略直接应用于安全组。您可以对安全组进行筛选,但无法将其应用于安全组。
因此,您看到的是正常行为。为了让用户获得您正在应用的策略(在当前配置中),他们的用户对象需要位于 OU 中User Policies
。
但是,如果您想将其设置为只有组中的用户才能获得这些设置,您可以在域级别链接该策略。然后,您可以使用安全过滤删除默认设置Authenticated Users
,并添加您创建的组。
这样,您的策略将适用于您域中的任何用户对象,但仅限于您设置的组内的用户对象。