服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 将组策略应用于特定计算机上的特定用户(在OU中)(不在OU中)
Intereting Posts
configurationNginx和php5-fpm以使用Codeigniter 戴尔PERC 6 / i RAID性能testing 新鲜的CentOS 7安装更新后sshd不再logging 在新机器上安装.Net Framework的Windows 7 如何将vhd转换为wim文件? 如何安全地更改所有者:组recursion? resolv.conf和named.conf转发器有什么区别? 不同的内部域和外部域的DNS问题 启动Windows服务时出错:连接“主动拒绝” 如何检查我的邮件系统? 从ASN确定互联网骨干网 IIS无法访问OneFS虚拟目录中的文件 – 404错误 初学者SAS和SAS2速度的期望 如何使网站用户对远程Active Directory进行身份validation? 我如何限制一个进程可以使用新贵(Ubuntu 11.10)

将组策略应用于特定计算机上的特定用户(在OU中)(不在OU中)

这一直在困扰我一段时间。 这是设置:

  • 我们有20台Win2k8r2服务器。 他们被分成各种不能改变的OU。 我已经创build了一个安全“DevHostsSG”,其中包含应用此策略的计算机。
  • 我们有约40个用户。 有一个特定的OU“DevUsersOU”,其中包含我想要应用策略的十几个用户。 我还创build了一个包含相同用户的安全组DevUsersSG。

我需要将特定的文件夹redirectGPO应用于DevUsersOU中的用户, 并且只应用于DevHostsSG安全组中的服务器。 DevUsersOU中的用户不应将redirect策略应用于任何其他服务器,并且在loginDevHostsSG安全组中的服务器时,其他用户不应该有redirect。

我迄今为止的进展:

  • 我有环回处理设置,所以redirect应该适用
  • 当我将策略设置为DevUsersOU,然后将DevHostsSG添加到安全筛选(使用读取和应用)时,它无法在任何地方工作(我假设这是因为该OU中没有任何计算机?)
  • 当我将策略设置为域,然后使用安全筛选来包含DevUsersSG和DevHostsSG时,即使DevUserslogin到非DevHosts
  • 当我将组策略应用于DevHostsSG时,它似乎根本不起作用(这让我怀疑环回处理是否不起作用)
  • 当我创build一个包含指定用户和计算机的安全组时,它似乎适用于所有主机

在这一点上,我已经没有想法,部分只是猜测的东西,似乎越来越差,出于某种原因,我有一个主机在DevHostsSGredirect工作,两个主机,它不工作,一个主机是不是在启用redirect的DevHostsSG中。每次我进行更改时,我已经做了几次gpupdate / force以及logoffs和gpresult / R,而且我没有真正得到任何地方。

任何帮助将不胜感激!

—-进一步testing—-

为了简化这种情况,我尝试了以下方法:

  • 清除安全filter中的组
  • 添加了一个特定的用户到安全filter
  • 添加了一个特定的主机到安全filter
  • 在该主机上以该用户身份运行gpupdate:启用redirect(OK)
  • 作为另一个用户在该主机上运行gpupdate:未启用redirect(OK)

  • 作为该用户在另一主机上运行gpupdate:启用redirect(NOT OK)

  • closures环回处理没有什么区别

—-回应—-

joequerty:

  1. 基本上我每次在组策略pipe理中进行更改后,都在四台主机上运行gpupdate:DevHostsSG组中有两台主机,两台不在组中,每台主机都以DevUsersOU的用户身份login,不在OU中的用户。
  2. 需要重新启动听起来很奇怪。我只是指AD属性下的“members”/“member of”选项卡(例如,在DevHostsSG中,成员是DevHost1,DevHost2等)
  3. 如果政策与整个领域没有联系,那我们就不知道还有什么可做的
  4. 这是问题..我似乎无法让GPO安全筛选器做一个“AND”,安全筛选器总是做“或”(即DevUser1或DevHost1而不是DevUser1和DevHost1)

当前的configuration回到上面的第1项,这是为了使GP适用于DevUsersOU,并将安全组设置为应该应用GP的主机列表。 自上次更改以来,我重新启动了其中一台主机,并且文件夹redirect现在不再有效(这是我昨天检查的最后一次)。 当我运行gpresult / RI时,在“计算机设置”下看不到所有列出的GP,但我在用户设置下看到以下内容: 

The following GPOs were not applied because they were filtered out ------------------------------------------------------------------- Local Group Policy Filtering: Not Applied (Empty) Default Domain Policy Filtering: Not Applied (Empty) Folder Redirect Filtering: Denied (Security)

我认为这是失败的,因为我没有明确地将DevUsersSG作为GP安全过滤部分中的单独条目包含进来,或者将它们包含在主机所在的安全组中,但是从我的testing看来,如果我做了那些,GP适用于那些用户login的所有主机…所以我几乎回到了我开始的地方..

  1. 你在哪里运行gpupdate? 环回策略处理是计算机configuration设置,因此为了将其应用于所讨论的服务器,这些服务器需要刷新组策略。

  2. 更改计算机帐户的组成员资格需要重新启动该计算机AFAIK。

  3. 不build议在域级别使用环回策略处理。

  4. 如果您必须在域级别使用它,请确保您的安全筛选仅包含您创build的特定用户和计算机组。

我没有看到任何理由为什么环回策略处理链接到具有适当的安全过滤域的GPO将无法正常工作,但我只使用它在特定的OU,从来没有在域级。 这就是说,我怀疑你的问题是与项目编号2。