网络目录服务:实现组策略
2010-09-27 12:57:12 来源:WEB开发网核心提示: 默认情况下,GPO 影响链接的站点、域或 OU 中包含的所有用户和计算机,网络目录服务:实现组策略(10),通过使用 DACL,可以修改任何 GPO 的影响以排除或包含任何安全组的成员,然后为“Management”组清除【应用组策略】ACE 的【允许】复选框,并选择【拒
默认情况下,GPO 影响链接的站点、域或 OU 中包含的所有用户和计算机。通过使用 DACL,可以修改任何 GPO 的影响以排除或包含任何安全组的成员。
² 筛选组策略的方式
为了筛选组策略,可以使用以下两种方式之一:
方式1
执行下面步骤;
1、创建一个安全组并将OU的管理员添加到这个组。
2、在安全性设置的【属性】对话框中,在【安全】表里添加不想用于OU管理员的GPO。
3、拒绝应用于这个安全组的应用组策略权限。
方式2
它是删除验证的用户。通过忽略安全组的OU管理员,他们没有GPO的明确权限。执行以下的步骤:
1、从DACL中删除验证的用户组。
2、创建一安全组并将除OU管理员外的所有计算机和用户的说明加入该组。
3、在【安全】表里为不想应用于OU管理员的GPO添加安全组。
4、允许安全组具有读和应用组策略权限。
² 实施组策略筛选
要基于安全组成员身份来筛选 GPO 应用,请按照以下步骤操作:
1、确保实验所需的安全组“Management”已创建成功。并将Acctuser2加入到组中。
2、在【Active Directory 用户和计算机】管理控制台中,右击Accounts OU,然后单击【属性】菜单。在出现的属性对话框对话框中,选择【组策略】标签。
3、在【组策略对象链接】列表中,选择“Enforced User Policies”。单击【属性】按钮。
4、在【安全】表添加里安全组Management。然后为“Management”组清除【应用组策略】ACE 的【允许】复选框,并选择【拒绝】复选框。如图6-8所示。
更多精彩
赞助商链接