我在创建仅应用于特定计算机和安全组的 GPO 时遇到了困难。以下是我想要做的。
我有一个包含多台计算机的 OU。我想应用一个 GPO,使空闲时间达到 x 的远程会话断开连接,并使断开连接的会话在 y 时间后注销。我需要将其仅应用于特定安全组中的用户。
我已经创建了 GPO 并更改了计算机配置 -> 策略 => 管理模板 -> Windows 组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 会话时间限制中的 2 个设置。
接下来,我将 GPO 链接到我的目标 OU 并打开“强制”复选框。我更改范围安全过滤以删除经过身份验证的用户(因为如果我不这样做,它将应用于所有人),然后我添加我的安全组。我还添加了域计算机组(因为如果我不这样做,它将不会应用于任何人)
问题是 GPO 仍然会应用于不属于安全组的用户。如果我将 GPO 从计算机配置更改为用户配置,那么 GPO 根本不会应用于任何用户。
我也尝试将安全组移动到单独的 OU,并将 GPO 链接到该 OU,但这也不起作用。
我的配置似乎应该可以工作,但我不明白为什么它会将其应用于组外的用户。任何帮助都非常感谢!
答案1
有几件事:
计算机配置设置适用于计算机,而不是用户。这就是为什么您需要将域计算机组添加到 GPO 安全过滤中的原因……因为计算机配置设置适用于计算机……因此 GPO 只能影响 GPO 所链接的 OU 中的计算机以及用作安全过滤器的安全组中的计算机。因此,这些设置将适用于登录 GPO 所链接的 OU 中的计算机的每个用户……因为这些是计算机配置设置。
您不能将组策略直接应用于组。组策略适用于计算机和/或用户。您可以使用组来过滤 GPO,以便它仅应用于安全组的成员(用户或计算机)。
如果您只想将这些设置应用于部分用户,则请在“用户配置”下配置这些设置...然后将 GPO 链接到您的用户帐户所在的 OU...并使用安全过滤将 GPO 应用于属于安全组成员的用户子集。
答案2
您提到您的 OU 包含多台计算机,那么您的安全组的用户帐户呢?它们位于同一个 OU 中吗?如果我没记错的话,只有当用户帐户位于该特定 OU 中时,用户配置才会起作用。