所以,我有一个GPO,它运行一个快速启动脚本,以便在计算机启动时从AD域的所有机器上删除本地安装的IP打印机。 这很好…当我们试图免除一些机器(一些没有打印服务器的小型办公室)时,问题就出现了。
我创build了一个全局安全组,并将计算机帐户(因为这是一个启动,而不是login脚本)放到组中。 然后我在GPO上设置权限来拒绝对该组的访问。 出于某种原因,这不起作用。 如果我在脚本本身上为该组设置了拒绝权限,它也不起作用。
有趣的是,如果我切出了组,并直接在GPO或脚本上设置拒绝权限,权限就被拒绝了。
这些问题在多个“gpupdate / force”命令中持续存在,以及重新启动。
我是否缺less关于计算机帐户群组sids的事情? 为什么基于组的拒绝权限不起作用?
我一直在做你正在看的东西。 当你说“我然后在GPO上设置权限来拒绝对该组的访问”时,你不知道你在做什么。 这是我的工作stream程,用于拒绝组员申请GPO的权利:
组策略pipe理控制台中的权限编辑器不如组策略对象编辑器。 除非单击“委派”选项卡上的“高级”button,否则组策略pipe理中不会看到实际的ACL。 在“组策略pipe理”控制台之前的几天,我已经习惯于修改GPO权限,所以我仍然按照上述方式进行操作。 现在离开我的草坪! >微笑<
如果您担心计算机没有“启动”,则其组成员会在机器上执行“whoami / all”作为SYSTEM并查看输出。 这将告诉你什么是电脑的安全令牌实际包括。 我还没有使用电脑的经验,而不是“承认”组员的身份。
组策略过滤:你做错了(或者至less你这样做是困难的)。
为您想要应用策略的计算机创build一个安全组。
将相应的计算机帐户添加到组。
在GPO的“作用域”选项卡上的“安全筛选”部分中,删除所有实体并添加您在步骤1中创build的安全组。
完成。
我不是很确定,因为我没有办法在这里testing,但据我记忆,你将无法将电脑分组,并否认组。 你应该把每台计算机,否认每一个…
也许你可以find使用GPP的东西。