这不是重复的。这个问题比“什么是组策略”更详细。管理员在这里需要稍微不那么激进一点。
我想将Windows Firewall: Allow remote administration exception properties组策略推送到连接到我的 DC 的所有计算机。MS 的说明如下这里,相关行是“右键单击所选 OU,然后单击组策略更新…”。如果我尝试更新用户 GPO,它会说没有计算机对象。如果我尝试添加“计算机”对象,它会说它已经存在。我唯一能想到的就是树中的内容能更新是域控制器对象;这似乎不正确。
这很令人困惑。如果我无法添加它,为什么我看不到它?我没有打开任何过滤器。
这样做的目的是能够强制域中的所有计算机进行 GP 更新。我链接的说明暗示我可以通过 GPMC 进行更新,但我看不出有任何方法可以实现这一点。
答案1
GPO 只能链接到组织单位 (OU),但 Active Directory 域中的默认“计算机”文件夹是容器,不是 OU,因此您无法将 GPO 链接到它;但您无法创建名为“Computers”的 OU,因为已经有一个同名的对象。您应该使用“Active Directory 用户和计算机”控制台查看您的域结构,它将显示您域内的所有对象,而 GPMC 仅显示 OU 和 GPO。
答案2
我的想法:
首先,你显然需要解决为什么你没有看到电脑容器。您可能需要检查您的权限,然后检查应用于该对象的 ACL。
然后:
- 创建包含所需防火墙设置的新 GPO
- 在过滤选项中,指定单身的测试机器,例如:我的服务器$
- 将新的 GPO 链接到你的
电脑容器...或...到你的域的根目录(如果你无法解决第一个问题) - 执行GPUpdate /force /boot在我的服务器
- 使用策略结果集 (RSoP) 确认新策略设置已到达服务器
- 一旦满意,扩展过滤器组或将其更改为已认证用户
已编辑。