不知道这是否是正确的地方问这个问题。 在我的域控制器上,我创build了一个OU中的所有用户和计算机。 我有一个名为Support的组,位于用户计算机上的本地pipe理员组中。 经过身份validation的用户被设置为不能访问控制面板,也无法读取或写入CD / DVD驱动器。 另一个政策我有另一个政策题为“用户支持”,它允许访问的CD / DVD驱动器和控制面板的范围,支持组,而我的基本用户策略的范围为authentication用户组。 我认为,启用策略拒绝用户在CD / DVD驱动器上访问已authentication的用户可能会与此支持组禁用的相同选项冲突,但现在即使不在支持组中的用户也可以访问CD / DVD驱动器。 我需要做些什么来解决这个问题
由于Noor的解决scheme将工作,您将被迫不断更新该组,我想这是90%的域用户。 相反,您可以拒绝“用户支持”组的政策。
您只需要一个GPO,用于身份validation的用户,保留此GPO,并删除另一个。
现在,您需要拒绝将此策略拒绝给您的“用户支持”组:转到组策略pipe理控制台,单击您的策略,select“委派”选项卡,单击“高级…”button(它位于底部窗口的右上angular),然后“添加…”,find并select你的组,添加后滚动权限,你会发现“应用组策略”,勾选“拒绝”checkbox。 去的路:D
不要使用“Authenticated Users”组过滤权限,这将导致问题,您的策略将无法正确应用。
而应为要应用“隐藏控制面板”选项的用户创build一个安全组,并使用该组来限制您的策略。
有关更多信息,请阅读此处: https : //technet.microsoft.com/en-us/library/cc752992.aspx