我已经设置了一个策略来强制屏幕保护程序7分钟后提示密码locking。 我发现有几台机器可以免除。 我制定了另一项政策,禁用属于特定组的设备的屏幕保护程序。 我也设置了回送,因为屏幕保护程序策略在用户组策略上,但我希望它应用在每台计算机的基础上。 所以使用过滤我已经做到这样,组策略应用于所有用户,除非你是在“豁免”的机器之一。 我在机器上运行gpresult并获取了正确的策略,但首先应用获取屏幕保护程序的策略,然后防止屏幕保护程序的禁用设置运行。 有没有办法让计算机策略在用户策略之前运行? 如果是的话,有没有更好的方法来做到这一点?
Izzy说的很好,如果你只需要电脑的政策。 你正在寻找的是回环组策略处理。
屏幕保护程序相关的策略设置是用户策略设置,所以您需要启用“合并”模式的回环组策略处理(计算机设置 – pipe理模板 – 系统 – 组策略 – 用户组策略回送处理模式)(以允许您现有的用户设置继续申请)在已经适用于需要从其他通用屏幕保护设置中“免除”的计算机的新的或现有的GPO中。 如果您只希望将此“免除”应用于GPO链接的OU下的计算机子集,请创build一个包含这些计算机的安全组,并将其具有“读取”和“应用组策略”的权限添加到包含GPO此环回组策略处理,从权限中删除“Authenticated Users”,并根据需要添加“读取”和“应用组策略”权限的“域用户”(更多)。
完成之后,您需要设置必要的策略设置以“禁用”屏幕保护程序设置。 这些是用户设置,您可以将它们放到打开环回组策略处理的同一GPO中。 如果确实使用设置回送组策略处理设置的同一GPO, 并且已将该GPO的应用程序过滤到安全组,请确保将具有“读取”和“应用组策略”权限的“域用户”添加到该GPO,因为用户设置的实际应用发生在login用户的上下文中,而不是计算机上。
重新启动“免除”电脑之一,并尝试一下。
当这些“免除”计算机启动时,他们将应用允许在“合并模式”下进行环回组策略处理的GPO。 这就是说,在所有正常的用户GPO设置应用完毕后,第二次通过域进行search,查找包含用户设置但适用于目录中计算机对象位置的GPO(考虑环回策略处理“合并模式“神奇地”将用户对象的副本放入与计算机相同的容器中,从而将计算机上的GPO中的任何用户设置定位到用户)。
机会是你没有使用环回组策略处理,所以这个我上面描述的非常简单的方法将工作正常。 如果您已经在使用回环GPO处理,那么针对“免除”计算机的安全组过滤会变得有问题(并且超出了我愿意在此答案中描述的内容)。 如果你已经在那里,你应该已经知道如何去做你想做的事情了
显然,我build议读回环组策略处理,并在testingOU中使用临时计算机运行一些testing,然后再对生产计算机/ OU执行此操作。 这是理解组策略客户端用来select适用于用户/计算机的策略的algorithm的情况之一,而不是仅仅依赖像GPMC“计划模式”这样的工具是一个巨大的胜利。 我会直接给你一个来自微软的文章,但他们没有什么不吸引人的(即谈到GPO的“优先级”和其他这样的愚蠢,而不是仅仅详细解释algorithm…>叹息< )。
有一天( 不是今天,Kyle!我今天没有时间…)我会写一个关于Server Fault的algorithm的描述。
一个更好的方法是将屏幕保护程序策略只应用于应该有的机器。 这比把这个政策应用于一切都好,然后试图取消一些政策。
您可以通过安全组(例如启用屏幕保护程序 )筛选GPO,然后让所有应该具有屏幕保护程序GPO的计算机成为启用屏幕保护程序组的成员。
编辑
由于less数对象不需要GPO,请创build一个名为“ 屏幕保护程序已禁用”的安全组,将目标计算机设置为该组的成员,编辑屏幕保护程序GPO的安全性,添加屏幕保护程序已禁用 ,并为应用组策略select拒绝允许。