因此,我有一个 GPO,它运行一个快速启动脚本,在计算机启动期间从 AD 域上的所有计算机中删除本地安装的 IP 打印机。这很有效……当我们尝试免除几台机器时(一些没有打印服务器的小型办公室),就会出现问题。
我创建了一个全局安全组,并将计算机帐户(因为这是启动脚本,而不是登录脚本)放入该组中。然后我在 GPO 上设置权限以拒绝对该组的访问。出于某种原因,这没有效果。如果我在脚本本身上为该组设置拒绝权限,它也没有效果。
不过,有趣的是,如果我切断该组,并直接在 GPO 或计算机帐户的脚本上设置拒绝权限,则权限会被正确拒绝。
这些问题在多次“gpupdate /force”命令以及重启后仍然存在。
我是否遗漏了有关计算机帐户如何对组 SID 进行分组的一些信息?为什么基于组的拒绝权限不起作用?
答案1
我一直在做你正在做的事情。当你说“然后我在 GPO 上设置权限以拒绝该组的访问”时,你正在做什么并不清楚。以下是我拒绝组应用 GPO 的权限的工作流程:
- 创建全局安全组“免于删除打印机的计算机”
- 打开组策略管理,找到要删除打印机的 GPO,然后“编辑”该 GPO
- 右键单击组策略对象编辑器控制台中的顶级节点,移至“安全”选项卡,将“免于删除打印机的计算机”添加到权限中,并为“免于删除打印机的计算机”组设置权限,包括“应用组策略”,权限为“拒绝”
组策略管理控制台中的权限编辑器不如组策略对象编辑器。除非您单击“委派”选项卡上的“高级”按钮,否则您看不到组策略管理中的实际 ACL。我是“老派”,在组策略管理控制台出现之前就习惯于修改 GPO 权限,所以我仍然按照上面描述的方式进行操作。现在从我的草坪上走开!>微笑<
如果您担心计算机没有“识别”其组成员身份,请在计算机上以 SYSTEM 身份执行“whoami /all”并查看输出。这将向您显示计算机的安全令牌实际上包含的内容。我从未遇到过计算机无法“识别”组成员身份的情况。
答案2
组策略过滤:您做错了(或者至少您做的方式很难)。
为您希望应用该策略的计算机创建一个安全组。
将适当的计算机帐户添加到组。
在 GPO 的“范围”选项卡上的“安全筛选”部分中,删除所有实体并添加您在步骤 1 中创建的安全组。
完毕。
答案3
我不太确定,因为我没有办法在这里测试,但据我记得你不能将计算机分组并拒绝该组。你应该将每台计算机分组并拒绝每台计算机……
也许您可以使用 GPP 找到一些东西。