我有一个如下的 GPO 层次结构:
在客户端计算机上,使用gpresult -r,我发现Global应用得很好。但是,Disable Control.exe没有。
我正在尝试配置的设置:
范围和过滤:
没有 VMI 过滤。
我已确认以下几点:
- 链接已启用。
- 在客户端机器上登录的用户是 的成员
OU_One。 - 我使用 强制更新
gpupdate/force。
为什么正在Global应用,但是Disable Control.exe没有用?
答案1
根据您在评论和聊天中的回答,我认为您把这件事弄得太复杂了。除非您有非常您需要它的具体原因。
要使 GPO 阻止Contractors任何计算机上组内的所有用户访问控制面板,您需要:
- 删除 GPO 的 Loopback 部分
Authenticated Users从 GPO 安全过滤中删除- 删除
OU_OneOU 链接 - 将 GPO 添加到包含实际用户位于
ContractorsOU 中的(请注意,安全过滤意味着如果承包商分散太多,您可以在域级别应用此 GPO)
安全过滤仅使用组作为组织事物(用户、计算机等)的一种方式。事物(用户、计算机等)仍必须位于 GPO 所链接的 OU 中。
环回过滤通常用于诸如更改终端(远程桌面)服务器上的用户策略之类的操作,您希望仅在特定的计算机上应用用户设置。
答案2
组策略,尽管它的名字是“组策略”,但并不适用于安全组。组策略适用于用户和计算机。您可以过滤组策略,使其仅适用于特定用户或计算机,方法是将这些用户或计算机添加到安全组,然后使用这些安全组作为 GPO 的过滤器。
您的问题是,此用户所属的安全组位于您的目标 OU 中,但此用户的用户帐户是不是在目标 OU 中。您需要将此用户的用户帐户移至目标 OU。您不需要并且应该从 GPO 中删除环回策略处理设置。
此外,您在 GPO 的过滤器中拥有经过身份验证的用户,这意味着 GPO 将应用于 GPO 管理范围内的所有用户(即您 OU 中的所有用户)。您需要从 GPO 的安全过滤器中删除经过身份验证的用户。执行此操作时,请务必按照以下链接中的说明操作,以确保您的 GPO 已正确配置。