我在我的login脚本中使用VBScript来映射networking驱动器..我知道,通过链接(GPO)到Active Directory容器(OU),组策略应该适用于单个用户帐户和计算机帐户。 我不知道的是如何将组策略应用到组中只有组的组织?
将GPO添加到安全组的正确方法是:
通过添加目标成员(计算机或用户帐户)来configuration组
创build您的GPO并将其链接到足够高的位置,以便将其应用于所有预期的对象
从GPMC中的“范围”面板中删除“经过身份validation的用户”,并添加应用该组的成员。 你不必使用高级安全部分来做到这一点,这样就不那么危险(没有机会locking自己)。
如果您链接域顶部的GPO,请确保在编辑GPO之前设置筛选,使其无处不在。
如果是计算机策略,则一旦将计算机添加到组中,则需要重新启动计算机;否则,当GPO刷新计算机时尚未在新组中进行身份validation,并且GPO将无法应用。
您不能将GPO应用到组,如您所说,将其应用于计算机和用户对象。
计算机和用户对象都将位于Active Directory结构中的某个位置 ,因此您应该直接将GPO应用于对象所在的OU。
如果你所有的用户和计算机对象都在他们的默认容器中,那么使用额外的OU来添加一点结构到你的活动目录可能是一个很好的机会。
如果您希望根据用户/计算机所属的安全组对某些GPO进行某种限制,则可以编辑每个GPO的安全属性并添加一个适当的组(即可以更改屏幕保护程序 )并设置读取权限拒绝 。