我在使用 Windows Server 2012 R2。
我想要实现的目标
我正在尝试通过将某些用户添加到授予他们访问特定管理单元权限的特定组来授予他们访问特定 MMC 特定管理单元的权限。
我已经创建了一个 GPO 对象并将其链接到我的Users文件夹(不是默认文件夹)。
该 GPO 对象通过启用以下内容禁用所有管理单元:
Restrict users to the explicitly permitted list of snap-ins.
这很好用。现在我尝试创建一些组,例如:
- MMC_ADUC_ACCESS -> 应授予对 Active Directory 用户和计算机的访问权限。
- MMC_DHCP_ACCESS -> 应该授予对 DHCP 管理单元的访问权限。
出了什么问题
因此,我创建了组,并为它们分别创建了一个 GPO 对象。但它拒绝覆盖禁用所有管理单元的那个。(所有管理单元都处于“未配置”设置)。
我尝试过的方法
我已将对象的范围设置为相应的组,在委派设置中,我已将其配置为仅适用于该组。不适用于任何其他内容。
我的问题:为什么一个 GPO 没有覆盖另一个?
我还愿意听取任何其他建议,以便让其发挥作用。提前谢谢您。