具有安全过滤的 GPO 适用于服务器 - 但为什么?

具有安全过滤的 GPO 适用于服务器 - 但为什么?

我们已经设置了一个使用安全组进行安全过滤的 GPO。该 GPO 链接到 OU,服务器是安全组的成员(在 AD 中 - 稍后会详细介绍)。

自从服务器被添加到 AD 中的新组后,我们还没有重新启动过它,因此服务器不知道它是新组的成员。如果我们在服务器上执行 GPRESULT,我们可以看到这一点。新组未显示。

但应用了 GPO 后,它就起作用了。但我不明白为什么。

答案1

应用 GPO 的原因是,客户端在刷新其组策略时会查询活动目录以查找gPLink 属性它所属的活动目录中的对象。

虽然它尚未在本地设置安全组,但 Active Directory 中确实存在该链接。当客户端查询 Active Directory 以找出它应该处理哪些组策略时,它会根据其 Active Directory 成员身份推送相关组策略,而不管本地知识如何。

您可以在以下位置找到有关 gPLink 属性的解释相关的技术博客。以及有关如何应用组策略的更多信息。

相关内容