我创build了一个testing域,并创build了一个GPO,它限制了对所有可移动介质的写入权限,并将其应用到我所有用户所在的根OU。 但是我知道,最终会有一些人需要写USB等等(主要是CEO和IT人员)
试图解决如何使用安全组来做到这一点,所以如果用户是特定安全组的一部分,那么该特定的GPO将不会被应用
GPO是否设置了计算机设置或用户设置?
如果是计算机设置,则可以使用包含计算机帐户作为成员的安全组,并仅将要应用策略的计算机添加为组成员。 然后过滤GPO以仅应用于该安全组。
如果用户设置,那么您可以使用包含用户帐户作为成员的安全组,并只添加您想要应用策略的用户作为组的成员。 然后过滤GPO以仅应用于该安全组。
您也可以做相反的事情,并使用安全组来拒绝组策略给一组计算机或用户。