我有几个GPO在我们的域中工作,在一个GPO中,我通过“受限制的组”function将组设置为“本地pipe理员”。 但是,当该组中的一个用户login到域中的一台计算机时,他们无法进行pipe理更改,如安装和删除程序。 我再次检查GPO,一切似乎设置正确。 GPO已链接并设置为执行策略。
更新:当我在客户端计算机上login并运行gpresult / z我得到这个:
Technology Department Configuration Filtering: Not Applied (Empty) Local Group Policy Filtering: Not Applied (Empty) 为什么说它是空的? 我忘了什么吗? 我正在查看我们域中所有的GPO,共有5个,仅适用于特定的组。 这些用户位于技术部门组中,仅与单个GPO相关联。 我不明白哪里可能有冲突? 该组唯一的filter是它们被添加到远程桌面用户组,本地允许login,允许通过terminal服务login,并通过受限制的组设置为本地pipe理员。
受限制的组gpo适用于计算机,而不是用户。 如果要使用域安全组来指定应该应用哪个计算机,则需要将范围内的计算机添加到该域安全组。
检查事项:
gpresult /z并确保该策略正在应用于此计算机。 – 如果没有,则将您的策略链接到不正确的OU,或者将策略范围设置为不应用于客户端(即按组成员身份过滤)。 GPMC中还有一个GUI(将安装在DC上),允许您执行此操作。 你的问题指出,一个用户在login时没有获得pipe理权限,这意味着其他用户呢? 其他用户是否真的在这台电脑上试过? 如果是这样,并且其他用户确实按预期获得了pipe理权限,则此configuration是否在同一策略中? 如果是这样,请仔细检查组成员资格 再次检查事件日志,因为这可能提供一些关于问题出在哪里的重要线索。
作为一个方面说明,你通常不需要强制执行政策,除非你在啄食顺序上有相互矛盾的政策。 按以下顺序应用策略。 本地,站点,域,然后计算机/用户是其成员的OU(从根开始),最后应用的策略覆盖任何先前的冲突,除非您使用“强制”设置,在这种情况下,第一个应用“强制”设置将赢得。
很难从你提供的信息中知道问题出在哪里,但是如果你可以编辑你的问题来添加更多的细节,展示你已经检查(find)的内容,这将有助于我们提供更好的诊断。