(处于探索模式:不确定应该问什么问题,以及如何提问。此外,对 AD GPO 不熟悉:请原谅问题不够清晰。)
问题:如何通过哪种机制将 Active Directory GPO 分配给特定计算机或一组计算机?
(容易理解具体的请提供步骤或示例?请不要用“使用 ABC 机制”这样的单行字来回答。)
目标:
- 设置 GPO 以禁用目标计算机上的 Windows Defender
- 原因:有另一个反恶意软件代理正在运行,Windows Defender 和该代理之间似乎存在严重的资源争用,而其他供应商建议禁用 Defender(但没有说明具体如何禁用)。此外,显然 Windows Server(与 Windows 10 或 11 不同)不允许通过 Windows 安全应用程序管理多个安全提供程序,在安装另一个安全提供程序时不会禁用 Windows Defender,也不允许其他提供程序禁用 Defender
- 首先将该 GPO 分配给一台 AD 计算机,确认策略按预期工作,然后将其推广到更多计算机
笔记):
- 有问题的计算机都是 Windows Server 版本
- ... 并且已加入域 (AD)
我尝试过的:
- 在 AD 中创建安全组“Defender Disabled”,并将目标计算机添加为该组成员
- 在 DC 上的组策略管理中:
- 按照“无法使用组策略禁用 Windows Defender“ 线
- 在那个 GPO 中范围, 在下面安全过滤,添加了“Defender Disabled”安全组 - 但似乎没有任何作用
这就是我被困住的地方:
- 将 GPO 分配给一组计算机的最佳做法是什么?
- 我如何确认给定的 GPO 确实应用于这些计算机?(例如,如果使用 Windows Defender 并通过 GPO 禁用它,则所需的配置更改在目标计算机上生效的症状是什么?)
PS 我花了大约 6-8 个小时,在进行了 10 多次相关搜索并阅读了大量文章后,打开了 30 多个标签,其中包括“为什么我们不能将 GPO 链接到 AD 容器?“,”使用组策略设置配置和管理 Microsoft Defender 防病毒“等等。这可能是我的错这充满挑战——但我希望我不是唯一一个处于这种境地的人。
谢谢你!
答案1
使用安全组过滤将 GPO 应用于特定计算机的做法是正确的。这是最有效的方法。
我注意到在您的过程中,您遗漏了将新的 GPO 链接到包含目标计算机的 OU 的步骤。
使用安全组过滤策略时要注意的另一件事是,只有在组成员刷新其 Kerberos 令牌后,它们才会应用,这通常需要重新启动计算机并让用户注销/登录。
要正确应用安全组过滤策略,您应该检查以下内容:
- 该组包含您尝试应用策略的正确用户/计算机主体。
- 安全组对 GPO 具有“应用策略”权限,并且对“经过身份验证的用户”禁用“应用策略”。
- GPO 链接到用户/计算机所在的 OU(不需要是直接 OU,只需是其上级 OU)
- 在用户和 GPO 链接到的 OU 之间的任何 OU 上,GPO 继承均未被阻止。
- 根据所应用的设置,GPO 用户和/或计算机设置已启用。用户策略中的设置必须应用于用户主体,而计算机策略中的设置必须应用于计算机主体。
- 该 GPO 设置与另一个具有更高优先级的 GPO 中配置的相同设置不冲突。
确认所有这些步骤后,您可以在目标计算机上使用 rsop.msc 确认已应用的设置。右键单击计算机或用户配置并选择属性以查看策略的完整列表及其应用状态。将新策略链接到 OU 后,您应该会在其中看到它。