Permissions

安全過濾在 GPO 中不起作用

  • February 15, 2016

不確定這是否是問這個問題的正確地方。在我的域控制器上,我在一個 OU 中創建了我的所有使用者和電腦。我有一個名為 Support 的組,它位於使用者電腦上的本地管理員組中。經過身份驗證的使用者被設置為無法訪問控制面板,也無法讀取或寫入 CD/DVD 驅動器。另一個策略 我有另一個名為“使用者支持”的策略,它允許訪問僅限於支持組的 CD/DVD 驅動器和控制面板,而我的基本使用者策略僅限於經過身份驗證的使用者組。我認為啟用策略以拒絕經過身份驗證的使用者在 CD/DVD 驅動器上的使用者訪問可能與為支持組禁用相同的選項衝突,但現在,即使不再在支持組中的使用者也可以訪問 CD /DVD 驅動器。

由於 Noor 的解決方案將起作用,您將被迫不斷更新該組,我猜想該組的使用者佔該域的 90%。相反,您可以拒絕“使用者支持”組的策略。

為此,您只需要一個 GPO,即您用於經過身份驗證的使用者的 GPO,保留這個 GPO,然後刪除另一個。

現在您需要向您的“使用者支持”組拒絕此策略:轉到組策略管理控制台,點擊您的策略,選擇“委派”選項卡,點擊“高級…”按鈕(位於底部- 視窗的右上角),然後“添加…”,找到並選擇您的組,添加後,滾動權限,您將找到“應用組策略”,選中“拒絕”複選框。要走的路:D

引用自:https://serverfault.com/questions/755837