我已经build立了我的WS2k8 R2 AD,如下所示:
OU“OU1”包含一个名为“GROUP1”的安全组。 我已经对“OU1”应用了一些组策略。 组策略被强制执行。
我的用户位于默认的“用户”OU中。 用户是组“GROUP1”的成员。
问题是GP不适用于用户。
如果我在“OU1”OU中创build用户,则策略将按照他们应该的方式应用。
非常感谢,詹姆斯
组策略不适用于这样的组。 它应用于应用的OU中的计算机或用户对象。
如果您希望组策略仅应用于特定组,则需要将组策略附加到整个用户OU,然后使用组策略过滤将其限制为您所需的用户组。
这是因为组策略是基于用户对象的存在位置而不是用户所在的任何组来应用的。这是组策略对象更混乱的一个方面。 这个名字说组名,显然它应该适用于团体吗? 不,至less不是没有额外的工作。 为了让GPO适用于用户,必须在用户path中的OU上设置该域的根。
要设置它以使组成员实际上强制GPO应用程序,有一个这样的过程:
http://technet.microsoft.com/en-us/library/cc786636%28WS.10%29.aspx
这有点不同,因为你必须把它应用到每个人,但你设置它,所以只有特定组的成员实际执行它。 所以,你要把它设置在你的用户OU上,只有configuration好的组的成员才能得到它。
您需要做的是在用户正在login的计算机上启用GPO环回处理。 环回处理强制将gpo应用于login到这些计算机的用户,而不pipe用户对象在AD中的位置。 您可以在此KB中find更多详细信息: http : //support.microsoft.com/kb/231287 。
你所看到的是默认行为。 组策略在OU级别设置,并应用于该OU中的对象。 组不扩展以应用组策略。
最简单的解决scheme可能是将用户移到OU1 OU。 您需要确保没有其他组策略专门应用于用户OU。