我有一个很小的网络,只有少量用户和机器。我想使用组策略来控制哪些用户可以访问哪些机器。
这是我当前设置的基本概述。
所有机器都位于域计算机两台计算机位于管理电脑组。这些用于有权访问更敏感数据的管理员工。
所有用户都处于域用户组中有两个用户管理用户组。这些用户可以访问域用户所做的一切以及附加文件共享。
我有一个默认计算机策略,用于将全局设置应用于网络上的所有计算机。这包括远程桌面的防火墙例外设置,以及将域用户添加到计算机的本地管理员组。此策略适用于多明电脑组。我还设置了允许本地登录和允许通过终端服务登录适用于域用户的权利
我有一个管理计算机策略,我想用它来覆盖默认计算机策略中的特定设置。也就是说,我正在设置允许本地登录和允许通过终端服务登录权限仅包括管理组和管理员组。
所有这些策略都已启用并链接到我的根域,我没有使用任何 OU。我读到过,对于这么小的网络,OU 是多余的,应该没有必要。我已在此域上设置了链接顺序,以便管理策略位于顶部,普通用户策略位于下方,以默认域策略结尾。
我希望管理策略中的登录设置能够覆盖我的默认计算机策略。但是,当我在本地安全策略中查找管理计算机组中的计算机时,我看到的是默认设置中指定的组,而不是管理策略中指定的组。我尝试过使用gpupdate /force并重新启动计算机,但不起作用。我能够使用刚刚处于域用户团体。
我在这里误解了什么?我应该怎么做才能完成我想要做的事情?
答案1
使用 OU - 不存在太小而无法使用 OU 的网络。将策略应用于 OU,因为您无法将组策略应用于默认用户和计算机容器。
如果您想使用此设置,我将创建一个“计算机”OU,将所有常规计算机帐户移至该 OU,并在那里应用默认计算机 OU。从计算机 OU 创建一个子 OU“MgmtComputers”OU,并在那里仅应用管理计算机 OU。
编辑:顺便说一句 - 如果您在默认计算机策略中将“域用户”设置为本地管理员,并允许“本地登录”包含管理员组,由于每个域用户都是本地管理员,它仍然允许每个用户登录到每台计算机。