不确定这里是否是提出这个问题的合适地方。在我的域控制器上,我已将所有用户和计算机创建在一个 OU 内。我有一个名为 Support 的组,它位于用户计算机上的本地管理员组中。经过身份验证的用户被设置为无法访问控制面板,也无法读取或写入 CD/DVD 驱动器。另一个策略我有另一个名为“用户支持”的策略,它允许访问 CD/DVD 驱动器和控制面板,该策略的范围是支持组,而我的基本用户策略的范围是经过身份验证的用户组。我认为启用策略以拒绝经过身份验证的用户访问 CD/DVD 驱动器可能会与为支持组禁用相同选项相冲突,但现在,即使不再属于支持组的用户也可以访问 CD/DVD 驱动器。我需要做什么来解决这个问题
答案1
由于 Noor 的解决方案有效,您将被迫不断更新该组,我猜这相当于域中 90% 的用户。相反,您可以拒绝“用户支持”组的策略。
您只需要一个 GPO,即用于经过身份验证的用户的 GPO,保留这个,并删除另一个。
现在您需要拒绝“用户支持”组使用此策略:转到组策略管理控制台,单击您的策略,选择“委派”选项卡,单击“高级...”按钮(位于窗口的右下角),然后单击“添加...”,找到并选择您的组,添加后,滚动权限,您将找到“应用组策略”,选中“拒绝”复选框。 干得好 :D
答案2
不要使用“经过身份验证的用户”组过滤权限,这会导致问题并且您的策略将无法正确应用。
相反,为您想要应用“隐藏控制面板”选项的用户创建一个安全组,并使用该组来确定您的策略范围。
欲了解更多信息,请阅读:https://technet.microsoft.com/en-us/library/cc752992.aspx