我的主要问题是:
GPO 的安全过滤是使用 AND 逻辑计算还是使用 OR 逻辑来应用过滤器?
以下是我提出此问题的背景信息:
OU 结构:
-- Biz-Computers
---- Site1-Computers
---- Site2-Computers
-- Biz-Users
---- Management
---- Operations (GPO Applied here: "OperationsGPO")
我已将“OperationsGPO”应用于“Biz-Users/Operations”OU
此 GPO 是基于用户的 GPO,但它仅适用于操作 OU 内的单个用户组,并且我只想在用户登录“Site2-Computers”OU 中的计算机时将该 GPO 应用于该用户
因此,我已将所需的操作用户(并非全部)添加到“OpsUsers”组,并将 Site2 计算机添加到名为“Site2Comps”的组,然后我将这些组添加到 GPO 的“安全过滤”字段
由于安全过滤中定义了 2 个组(“OpsUsers”和“Site2Comps”),我不清楚它们是如何应用的 - 两个参数是否都需要匹配(AND 逻辑)或者任何对象是否需要匹配(OR 逻辑)?
谢谢!
答案1
问题的答案: 逻辑'或者'-- 如果发生以下情况,则适用 GPO任何安全过滤器匹配。
解决方案: 配置用户组策略环回处理模式
- 在所需计算机的 OU 下创建计算机组策略
编辑新的 GPO 并浏览到:
计算机配置/管理模板/系统/组策略
启用“配置用户组策略环回处理模式”并将其设置为“合并”
将您想要启用的任何用户策略添加到同一计算机策略中(环回使其合法)
确保新的 GPO 具有安全过滤器来验证您想要的用户以及您正在应用的计算机。
环回基本上将“用户”策略应用于特定的计算机。
答案2
其工作原理与将 ACL 添加到文件/文件夹权限中相同。在典型的不涉及“拒绝”条目的情况下,您添加多个组“允许”或“应用”权限,任何组都会获得 GPO。
编辑//:但是,将计算机添加到您的过滤中对您没有任何帮助,因为您拥有的是用户设置 GPO。计算机帐户在这里无关紧要。环回可能更适合您想要实现的目标,但我不确定计算机上的环回 + 用户安全过滤是否适合您。