利用安全筛选将GPO应用于Active Directory中的计算机组

时间:2024-05-22 09:16:39

可以将组策略    GPO应用于计算机。最常见的方法是将计算机GPO链接到计算机OU。默认情况下,将对驻留在该OU下的所有计算机强制实施策略。如果仅针对少数几台特定计算机有特定策略,则这些计算机必须在 Active Directory计算机组中分组在一起。本文将介绍有关如何将GPO应用于Active Directory中的计算机组的详细信息。这种方法比每次需要时为这些特定计算机创建新的OU效率更高。

如何将GPO应用于Active Directory中的计算机组

在此示例中,所有计算机都加入了一个名为asaputra.com域,并且该域控制器安装在Windows Server 2012 R2。所有运行Windows 10且位于产品 OU 上的客户端计算机。

利用安全筛选将GPO应用于Active Directory中的计算机组

已创建名为“ 安全计算机策略 ”的组策略对象,并将其链接到Prod OU。默认情况下,GPO应用于该OU中的所有计算机。

利用安全筛选将GPO应用于Active Directory中的计算机组

下面的分步说明将介绍如何过滤仅在WKS002WKS003上应用的“ 安全计算机策略 ” GPO 

1.创建
组必须在链接策略的OU创建组。在Active Directory用户和计算机控制台上打开OU 右键单击空白区域,然后选择“ 新建”>“

利用安全筛选将GPO应用于Active Directory中的计算机组

指定组名称,然后选择组范围“ 全局并且组类型为“ 安全性

利用安全筛选将GPO应用于Active Directory中的计算机组

单击“ 确定保存选项,并确认已创建该组。

利用安全筛选将GPO应用于Active Directory中的计算机组

2.将目标计算机添加为组成员。
双击组名称以打开其属性。选择成员选项卡,然后单击添加按钮。

利用安全筛选将GPO应用于Active Directory中的计算机组

将会弹出一个窗口。单击对象类型按钮,并确保选中计算机

利用安全筛选将GPO应用于Active Directory中的计算机组

利用安全筛选将GPO应用于Active Directory中的计算机组

现在输入目标计算机名称,用分号分隔,然后单击“ 检查名称按钮。如果输入正确,则名称将带有下划线,如下图所示。

利用安全筛选将GPO应用于Active Directory中的计算机组

确保所有目标计算机都已添加到组成员中,然后单击确定进行确认。

3.GPO安全筛选
开关修改为组策略管理控制台。选择要修改的策略对象,然后选择“ 作用域选项卡。

利用安全筛选将GPO应用于Active Directory中的计算机组

“ 安全筛选部分,选择经过身份验证的用户组,然后单击“ 删除按钮。

利用安全筛选将GPO应用于Active Directory中的计算机组

然后,仍在“ 安全筛选,单击“ 添加按钮。

利用安全筛选将GPO应用于Active Directory中的计算机组

键入在上一步中创建的组名。单击“ 检查名称按钮,确保输入正确,然后单击确定进行确认。

利用安全筛选将GPO应用于Active Directory中的计算机组

验证该组已添加到列表中。

利用安全筛选将GPO应用于Active Directory中的计算机组

最后,为了确保策略有效,经过身份验证的用户仍然需要至少具有对该策略的读取权限。在同一策略对象中,转到“ 委派选项卡,然后单击“ 添加按钮。

利用安全筛选将GPO应用于Active Directory中的计算机组

如下图所示,添加具有读取权限Authenticated Users组。

利用安全筛选将GPO应用于Active Directory中的计算机组

验证

我们可以检查该政策是否已正确应用。在客户端计算机上,打开提升权限的命令提示符,然后使用命令gpresult / r / SCOPE COMPUTER。在SECURED_COMPUTER组的成员计算机(即WKS002    WKS003)上,结果将显示该策略已正常应用

利用安全筛选将GPO应用于Active Directory中的计算机组

但是在组外的计算机上,结果将显示该策略已被滤除

利用安全筛选将GPO应用于Active Directory中的计算机组

请记住,GPO应用于计算机组可能有些棘手。如果看到GPO在作为目标组成员的计算机上被滤除,则可能是该计算机尚未意识到它已成为该组的成员。在这种情况下,计算机需要重新启动以刷新其组成员身份。要检查计算机组成员身份,请使用与上述相同的命令,然后向下滚动到底部,您将在其中看到此信息。

利用安全筛选将GPO应用于Active Directory中的计算机组

这就是将GPO应用于Active Directory中的计算机组的方法。