有个快速问题。我在一家大公司工作,我一直被告知,如果用户需要,比如说通过手机访问电子邮件,他必须是特定组的成员(当然,除了在 Exchange 控制台中激活主动同步之外),或者如果用户需要特定的互联网浏览权限,他必须是另一个组的成员,或者用户需要的任何资源或权限都有一个组。
因此,我也一直在研究 GPO,但我没有看到 Gpo 和组之间有任何关系,那么他们实际上是如何让特定组的成员访问他们希望用户访问的内容的呢?
答案1
GPO 包含适用于用户和计算机的设置。您可以应用影响 Internet 访问等内容的设置。可以使用组来过滤 GPO。为了使 GPO 应用于您的用户帐户或计算机帐户,用户或计算机将需要读取和应用 GPO 权限。如果您拒绝其中任何一个,则 GPO 将不适用。如果您授予这两个权限,则只要 GPO 链接到 OU(或链接到父 OU/域),它就会适用。
我们可以做的是使用组来过滤 GPO,假设您想要向一组用户授予一定级别的互联网访问权限,您可以创建 GPO,创建一个名为 G_InternetAccess 之类的组,然后确保该组具有读取和应用权限。将该组链接到包含您的用户的 OU,它就会起作用。或者,如果您有一组您不知道 GPO 应用的人,请确保他们没有读取和应用权限。
请注意,任何新 GPO 的默认权限都是 AuthenticatedUsers 读取和应用,因此默认情况下,当 GPOS 链接到 OU 或域时,它们适用于所有用户和计算机。
要编辑 GPO 的权限,请转到其委派选项卡,单击高级,您就可以看到当前列出的所有权限。
答案2
组和组策略之间实际上没有关系。回想起来,组策略可能不是最好的名称选择。组策略是一种集中管理需要应用于用户和计算机的设置和安全策略的机制。授予对资源的访问权限通常最好由组来执行,以防其他人可能需要这样做,他们只需被添加到组中,而从审计和合规性的角度来看,请求组成员资格的活动要简单得多。
答案3
组策略适用于容器结构(组织单位)。属于 OU 成员的用户和计算机将应用该策略。
答案4
您不需要额外的会员资格或 GPO。默认情况下,邮箱所有者可以通过 Active Sync 访问他们的邮箱。您需要的是通过端口 443 直接连接到客户端访问服务器。
要检查设备是否已连接,请输入
Get-MobileDevice
在 Exchange 命令行管理程序中。
根据您的 Exchange 配置,您可能需要从隔离区解锁新添加的设备。