首先我要说的是,我对 GPO 的体验仅限于尝试各种设置,直到通过反复试验找到合适的设置。这很可能是一个非常明显的答案。
我们的目标是让三台计算机脱离互联网,但不限制它们对本地网络的访问。
我要替换的人设置了一个名为“Internet 锁定”的 GPO,其布局如下(斜体=我添加的):
范围:
链接:无 Internet(这是我们的主要 SBSComputers OU 的子 OU,目标计算机是其成员)。不强制执行。链接已启用。
安全过滤:
- 已认证用户
- 计算机1
- 计算机2
- 计算机3
无 WMI 筛选器
细节
GPO 状态:计算机配置设置已禁用(已启用)
设置
计算机配置/策略/管理模板/系统/组策略
用户组策略环回处理模式:已启用
模式:替换
用户配置/Windows 设置/Internet Explorer 维护/连接/代理设置
启用代理设置:全部至 127.0.0.1:4664
以 192.168.1.200 或内联网开头的除外
管理模板/Windows 组件/Internet Explorer
禁用更改自动配置设置:已启用
禁用更改连接设置:已启用
禁用更改代理设置:已启用
禁用互联网连接向导:已启用
/浏览器菜单
工具菜单: 禁用 Internet 选项...菜单选项:已启用
我已经在 DC 和目标计算机上执行了 gpupdate /force,但是,尽管其他 GPO 运行良好,但这个 GPO 似乎被忽略了。一些初步的谷歌搜索让我将环回处理模式添加到计算机配置中,然后启用计算机配置选项,我还认为我可能需要安全过滤部分中的特定计算机对象,但这些没有任何变化。我没有使用我的域管理员帐户登录目标计算机。
当我运行时,gpresult /h result.html我看到在计算机配置/组策略对象/拒绝的 GPO 中列出了 Internet Lockdown,原因为“已禁用 GPO”。这让我很困惑,因为它现在已全部启用。它也没有出现在用户配置下的任何地方,既没有应用也没有拒绝。
除了在 DC 或目标计算机上处理 GP 的时间之外,事件日志不包含任何有用的信息。
有什么想法吗?
答案1
这是因为您已Computer Settings Disabled配置。请尝试将下拉菜单更改为纯文本Enabled,然后尝试一下。
话虽如此,您还是在一个 GPO 中配置了计算机策略和用户策略。从技术上讲,这没有什么问题,但它被认为是不好的做法,并且会使故障排除变得困难。
这也会使你的安全过滤变得一团糟。例如,在你的例子中,列出计算机没有任何区别,因为你已经Authenticated Users列出了。
我建议将您的策略分成两部分 - 一部分包含所有项目Computer Configuration,另一部分包含所有User Configuration项目。如果您希望两组 GPO 都应用于该 OU 中的所有计算机(因此也适用于登录到这些计算机的所有用户),那么只需将两组安全过滤保留为 即可Authenticated Users。(但请记住它也适用于管理员)