通过安全组应用 GPO

通过安全组应用 GPO

我是 GPO 新手。我想将策略应用于不同 OU 中的特定计算机,不知道该怎么做。例如。

机器 1、2、3 位于(安全)组 1(M1、M2、M3、G1)中,
机器 4、5、6 位于(安全)组 2(M4、M5、M6、G2)
中,奇数机器需要应用 GPO1,偶数机器需要应用 GPO2

我以为如果我将奇数/偶数机器放在不同的安全组 (G1、G2),我就能指定应通过安全过滤应用的 GPO。然而,事实并非如此。

我该如何/应该如何解决这个问题?

答案1

需要重新启动计算机以获取组成员身份,或者您可以klist -lh 0 -li 0x3e7 purge在计算机上使用它来刷新 Kerberos 票证和组成员身份。

此外,这仅适用于计算机策略。用户策略需要启用用户组策略环回处理。

出于测试目的,您还应确认是否将计算机直接添加到范围筛选中以确认是否有效。如果不行,则问题与组成员身份无关。

答案2

不要忘记从安全过滤中删除“经过身份验证的用户”,因为您的所有用户和计算机都在“经过身份验证的用户”中。

如果您不删除“经过身份验证的用户”,即使您在安全过滤中添加您的组,他们也不会过滤任何内容......

相关内容