可以将组策略 或 GPO应用于计算机。最常见的方法是将计算机GPO链接到计算机OU。默认情况下,将对驻留在该OU下的所有计算机强制实施策略。如果仅针对少数几台特定计算机有特定策略,则这些计算机必须在 Active Directory计算机组中分组在一起。本文将介绍有关如何将GPO应用于Active Directory中的计算机组的详细信息。这种方法比每次需要时为这些特定计算机创建新的OU效率更高。
如何将GPO应用于Active Directory中的计算机组
在此示例中,所有计算机都加入了一个名为asaputra.com的域,并且该域控制器安装在Windows Server 2012 R2上。所有运行Windows 10且位于产品 OU 上的客户端计算机。
已创建名为“ 安全计算机策略 ”的组策略对象,并将其链接到Prod OU。默认情况下,GPO应用于该OU中的所有计算机。
下面的分步说明将介绍如何过滤仅在WKS002和WKS003上应用的“ 安全计算机策略 ” GPO 。
1.创建
组必须在链接策略的OU上创建组。在Active Directory用户和计算机控制台上打开OU ,右键单击空白区域,然后选择“ 新建”>“组”
指定组名称,然后选择组范围“ 全局”,并且组类型为“ 安全性”。
单击“ 确定”保存选项,并确认已创建该组。
2.将目标计算机添加为组成员。
双击组名称以打开其属性。选择成员选项卡,然后单击添加按钮。
将会弹出一个窗口。单击对象类型按钮,并确保选中计算机。
现在输入目标计算机名称,用分号分隔,然后单击“ 检查名称”按钮。如果输入正确,则名称将带有下划线,如下图所示。
确保所有目标计算机都已添加到组成员中,然后单击“确定”进行确认。
3.将GPO安全筛选
开关修改为组策略管理控制台。选择要修改的策略对象,然后选择“ 作用域”选项卡。
在“ 安全筛选”部分,选择“经过身份验证的用户”组,然后单击“ 删除”按钮。
然后,仍在“ 安全筛选”上,单击“ 添加”按钮。
键入在上一步中创建的组名。单击“ 检查名称”按钮,确保输入正确,然后单击“确定”进行确认。
验证该组已添加到列表中。
最后,为了确保策略有效,经过身份验证的用户仍然需要至少具有对该策略的读取权限。在同一策略对象中,转到“ 委派”选项卡,然后单击“ 添加”按钮。
如下图所示,添加具有读取权限的Authenticated Users组。
验证
我们可以检查该政策是否已正确应用。在客户端计算机上,打开提升权限的命令提示符,然后使用命令gpresult / r / SCOPE COMPUTER。在SECURED_COMPUTER组的成员计算机(即WKS002 和 WKS003)上,结果将显示该策略已正常应用。
但是在组外的计算机上,结果将显示该策略已被滤除。
请记住,将GPO应用于计算机组可能有些棘手。如果看到GPO在作为目标组成员的计算机上被滤除,则可能是该计算机尚未意识到它已成为该组的成员。在这种情况下,计算机需要重新启动以刷新其组成员身份。要检查计算机组成员身份,请使用与上述相同的命令,然后向下滚动到底部,您将在其中看到此信息。
这就是将GPO应用于Active Directory中的计算机组的方法。