Windows server 2012 Active Directory 組

有一個快速的問題。我在一家大公司工作，我一直被告知，如果使用者需要讓我們說在電話上訪問他的電子郵件，他必須是特定組的成員（當然，除了在交換控制台中啟動主動同步）或如果使用者需要特定的網際網路瀏覽權限，則必須是另一個組的成員，或者使用者需要的任何資源或權限，都有一個組。

所以，我也一直在查看 GPO，但我沒有看到 GPO 和組之間的任何關係，那麼它們實際上如何使特定組的成員能夠訪問他們希望使用者訪問的內容？

GPO 包含適用於使用者和電腦的設置。您可以應用影響 Internet 訪問等的設置。組可用於過濾 GPO。為了讓 GPO 應用到您的使用者帳戶或電腦帳戶，使用者或電腦將需要讀取和應用 GPO 權限。如果您拒絕其中任何一項，則 GPO 將不適用。如果您授予這兩個權限，則只要 GPO 連結到 OU（或連結到父 OU/域），它就會適用。

我們可以做的是使用組來過濾 GPO，假設您想授予一組使用者一定級別的 Internet 訪問權限，您可以創建 GPO，創建一個名為 G_InternetAccess 之類的組，然後確保該組都已閱讀並應用權限。將該組連結到包含您的使用者的 OU，它將起作用。或者，如果您有一組人，而您沒有 GPO 申請的內容，以確保他們沒有讀取和應用權限。

請注意，任何新 GPO 的預設權限是 AuthenticatedUsers Read and Apply，因此預設情況下，當所有使用者和電腦連結到 OU 或域時，GPOS 將應用於所有使用者和電腦。

要編輯 GPO 的權限，請轉到其委派選項卡，點擊高級，您可以看到目前列出的所有權限。

引用自：https://serverfault.com/questions/841670