woo*_*sbw 1 permissions active-directory group-policy startup-scripts
所以,我有一个 GPO,它运行一个快速启动脚本,在计算机启动期间从我们 AD 域上的所有机器上删除本地安装的 IP 打印机。这很好用……当我们尝试免除几台机器(一些没有打印服务器的小型办公室)时会出现问题。
我创建了一个全局安全组,并将计算机帐户(因为这是启动,而不是登录脚本)放入组中。然后我在 GPO 上设置权限以拒绝对该组的访问。出于某种原因,这没有效果。如果我在脚本本身上为该组设置拒绝权限,它也无效。
不过,有趣的是,如果我删掉该组,并直接为计算机帐户设置 GPO 或脚本的拒绝权限,则权限会被正确拒绝。
这些问题在多个“gpupdate /force”命令以及重新启动时仍然存在。
我是否缺少有关计算机帐户如何分组组 sid 的信息?为什么基于组的拒绝权限不起作用?
组策略过滤:你做错了(或者至少你做的很困难)。
为您希望策略应用到的计算机创建一个安全组。
将适当的计算机帐户添加到组中。
在 GPO 的“范围”选项卡上的“安全筛选”部分,删除所有实体并添加您在步骤 1 中创建的安全组。
完毕。
| 归档时间: |
|
| 查看次数: |
10809 次 |
| 最近记录: |