我有一个非常小的networking,less数用户和机器。 我想通过使用组策略来控制哪些用户可以访问哪些机器。
这里是我目前的设置的基本概述。
所有机器都在“ 域计算机”组中两台计算机位于“ pipe理计算机”组中。 这些用于有权访问更敏感数据的pipe理员工。
所有用户都在“ 域用户”组中两个用户在“ pipe理用户”组中。 这些用户可以访问域用户所做的一切以及其他文件共享。
我有一个默认的计算机策略,用于将全局设置应用于networking上的所有计算机。 这包括远程桌面的防火墙例外等设置,以及将域用户添加到本机的本地pipe理员组。 这个策略适用于Domin电脑组。 我也设置允许本地 login和允许通过terminal服务login权限适用于域用户
我有一个pipe理计算机策略,我想用它来覆盖默认的计算机策略中的特定设置。 也就是说,我在本地设置“ 允许login”,并且“ 允许通过terminal服务login”权限仅包含pipe理和pipe理员组。
所有这些策略已启用并链接到我的根域,我没有使用任何OU。 我读过这个networking这个小,OU是矫枉过正,不应该是必要的。 我已经在该域上设置了链接顺序,以便pipe理策略位于顶部,正常的用户策略位于下方,以“默认域策略”结尾。
我期望我的pipe理策略中的login设置将覆盖我的默认计算机策略。 但是,当我查看“pipe理计算机”组中的计算机的本地安全策略时,我看到在我的默认设置中指定的组,而不是pipe理策略。 我曾尝试使用gpupdate /force也重新启动maching,并没有办法。 我可以使用刚刚在“ 域用户”组中的用户进行login。
我在这里误解了什么,为了完成我要做的事情该怎么做?
使用一个OU–没有一个networking太小而不能使用OU。 将策略应用于OU,因为您无法将组策略应用于默认用户和计算机容器。
如果要使用此设置,我将创build一个“计算机”OU,将所有常规计算机帐户移动到该OU,并在其中应用默认计算器OU。 在计算机OU上创build一个子OU OU“MgmtComputers”OU,然后在其中应用pipe理计算机OU。
编辑:顺便说一句 – 如果你在默认的计算机策略中设置“域用户”作为本地pipe理员,并允许“本地login”包括pipe理员组,因为每个域用户都是本地pipe理员,它仍然允许每个用户login到每台电脑。