如何使用安全组为特定人员“覆盖”以前的 GPO?

如何使用安全组为特定人员“覆盖”以前的 GPO?

我创建了一个测试域,并创建了一个 GPO,它限制了对所有可移动媒体的写入权限,并将其应用于所有用户所在的根 OU。但是我知道最终会有一些需要写入 USB 等的人(主要是 CEO 和 IT 人员)

尝试弄清楚如何使用安全组执行此操作,因此如果用户属于特定安全组的一部分,则该特定 GPO 将不会应用

答案1

GPO 设置是计算机设置还是用户设置?

如果是计算机设置,则可以使用包含计算机帐户作为成员的安全组,并仅将要应用策略的计算机添加为组成员。然后过滤 GPO 以仅适用于该安全组。

如果是用户设置,则可以使用包含用户帐户作为成员的安全组,并仅将要应用策略的用户添加为组成员。然后过滤 GPO 以仅适用于该安全组。

您也可以执行相反的操作,并使用安全组拒绝一组计算机或用户执行组策略。

相关内容