我创建了一个测试域,并创建了一个 GPO,它限制了对所有可移动媒体的写入权限,并将其应用于所有用户所在的根 OU。但是我知道最终会有一些需要写入 USB 等的人(主要是 CEO 和 IT 人员)
尝试弄清楚如何使用安全组执行此操作,因此如果用户属于特定安全组的一部分,则该特定 GPO 将不会应用
答案1
GPO 设置是计算机设置还是用户设置?
如果是计算机设置,则可以使用包含计算机帐户作为成员的安全组,并仅将要应用策略的计算机添加为组成员。然后过滤 GPO 以仅适用于该安全组。
如果是用户设置,则可以使用包含用户帐户作为成员的安全组,并仅将要应用策略的用户添加为组成员。然后过滤 GPO 以仅适用于该安全组。
您也可以执行相反的操作,并使用安全组拒绝一组计算机或用户执行组策略。