有一个快速的问题。 我在一家大公司工作,我总是被告知,如果用户需要在电话上访问他的电子邮件,他必须是特定组的成员(当然,除了激活交换控制台中的主动同步),或者如果用户需要特定的互联网浏览权限必须是另一个组的成员或用户需要的任何资源或权限,那么就有一个群组。
所以,我也一直在看GPO,但是我没有看到Gpo和组之间有任何关系,那么他们怎么才能真正让特定组的成员有权访问他们想要的用户?
团体和集体政策之间并没有真正的关系。 现在回想起来,组策略可能不是名称的最佳select。 组策略是集中pipe理需要应用于用户和计算机的设置和安全策略的一种机制。 授予对某个资源的访问权限通常是这样做的:对于一个组来说,如果有其他人可能需要这个权限,他们只需要添加到该组中,并且请求组中的成员身份的活动太多从审计和合规的angular度来看更简单。
GPO包含适用于用户和计算机的设置。 您可以应用影响互联网访问等设置。群组可用于过滤GPO。 为了使GPO适用于您的用户帐户或计算机帐户,用户或计算机将需要读取和应用GPO权限。 如果您拒绝这些,那么GPO将不适用。 如果您同时授予这两个权限,则只要GPO链接到OU(或链接到父OU /域),就会应用GPO。
我们可以做的是使用组来过滤GPO,假设您想要授予一定级别的互联网访问权限,您可以创build一组GPO,创build一个名为类似G_InternetAccess的组,然后确保组已经读取并应用权限。 将组链接到包含您的用户的OU,它将工作。 或者,如果你有一些人,你不符合GPO的要求,以确保他们没有阅读和应用许可。
请注意,任何新GPO的默认权限都是AuthenticatedUsers Read和Apply,所以默认情况下,GPOS在链接到OU或Domain时适用于所有用户和计算机。
要编辑GPO的权限,请转到其委派选项卡,单击高级,您可以看到当前列出的所有权限。
组策略适用于容器结构(组织单位)。 作为OU成员的用户和计算机将应用该策略。