网络目录服务：实现组策略

默认情况下，GPO 影响链接的站点、域或 OU 中包含的所有用户和计算机。通过使用 DACL，可以修改任何 GPO 的影响以排除或包含任何安全组的成员。

² 筛选组策略的方式

为了筛选组策略，可以使用以下两种方式之一：

方式1

执行下面步骤；

1、创建一个安全组并将OU的管理员添加到这个组。

2、在安全性设置的【属性】对话框中，在【安全】表里添加不想用于OU管理员的GPO。

3、拒绝应用于这个安全组的应用组策略权限。

方式2

它是删除验证的用户。通过忽略安全组的OU管理员，他们没有GPO的明确权限。执行以下的步骤:

1、从DACL中删除验证的用户组。

2、创建一安全组并将除OU管理员外的所有计算机和用户的说明加入该组。

3、在【安全】表里为不想应用于OU管理员的GPO添加安全组。

4、允许安全组具有读和应用组策略权限。

² 实施组策略筛选

要基于安全组成员身份来筛选 GPO 应用，请按照以下步骤操作：

1、确保实验所需的安全组“Management”已创建成功。并将Acctuser2加入到组中。

2、在【Active Directory 用户和计算机】管理控制台中，右击Accounts OU，然后单击【属性】菜单。在出现的属性对话框对话框中，选择【组策略】标签。

3、在【组策略对象链接】列表中，选择“Enforced User Policies”。单击【属性】按钮。

4、在【安全】表添加里安全组Management。然后为“Management”组清除【应用组策略】ACE 的【允许】复选框，并选择【拒绝】复选框。如图6-8所示。