利用安全筛选将GPO应用于Active Directory中的计算机组

最新推荐文章于 2023-03-30 16:38:08 发布
最新推荐文章于 2023-03-30 16:38:08 发布
阅读量2.5k 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/104001722
版权

可以将组策略    GPO应用于计算机。最常见的方法是将计算机GPO链接到计算机OU。默认情况下,将对驻留在该OU下的所有计算机强制实施策略。如果仅针对少数几台特定计算机有特定策略,则这些计算机必须在 Active Directory计算机组中分组在一起。本文将介绍有关如何将GPO应用于Active Directory中的计算机组的详细信息。这种方法比每次需要时为这些特定计算机创建新的OU效率更高。

如何将GPO应用于Active Directory中的计算机组

在此示例中,所有计算机都加入了一个名为asaputra.com域,并且该域控制器安装在Windows Server 2012 R2。所有运行Windows 10且位于产品 OU 上的客户端计算机。

已创建名为“ 安全计算机策略 ”的组策略对象,并将其链接到Prod OU。默认情况下,GPO应用于该OU中的所有计算机。

下面的分步说明将介绍如何过滤仅在WKS002WKS003上应用的“ 安全计算机策略 ” GPO 

1.创建
组必须在链接策略的OU创建组。在Active Directory用户和计算机控制台上打开OU 右键单击空白区域,然后选择“ 新建”>“

指定组名称,然后选择组范围“ 全局并且组类型为“ 安全性

单击“ 确定保存选项,并确认已创建该组。

2.将目标计算机添加为组成员。
双击组名称以打开其属性。选择成员选项卡,然后单击添加按钮。

将会弹出一个窗口。单击对象类型按钮,并确保选中计算机

现在输入目标计算机名称,用分号分隔,然后单击“ 检查名称按钮。如果输入正确,则名称将带有下划线,如下图所示。

确保所有目标计算机都已添加到组成员中,然后单击确定进行确认。

3.GPO安全筛选
开关修改为组策略管理控制台。选择要修改的策略对象,然后选择“ 作用域选项卡。

“ 安全筛选部分,选择经过身份验证的用户组,然后单击“ 删除按钮。

然后,仍在“ 安全筛选,单击“ 添加按钮。

键入在上一步中创建的组名。单击“ 检查名称按钮,确保输入正确,然后单击确定进行确认。

验证该组已添加到列表中。

最后,为了确保策略有效,经过身份验证的用户仍然需要至少具有对该策略的读取权限。在同一策略对象中,转到“ 委派选项卡,然后单击“ 添加按钮。

如下图所示,添加具有读取权限Authenticated Users组。

验证

我们可以检查该政策是否已正确应用。在客户端计算机上,打开提升权限的命令提示符,然后使用命令gpresult / r / SCOPE COMPUTER。在SECURED_COMPUTER组的成员计算机(即WKS002    WKS003)上,结果将显示该策略已正常应用

但是在组外的计算机上,结果将显示该策略已被滤除

请记住,GPO应用于计算机组可能有些棘手。如果看到GPO在作为目标组成员的计算机上被滤除,则可能是该计算机尚未意识到它已成为该组的成员。在这种情况下,计算机需要重新启动以刷新其组成员身份。要检查计算机组成员身份,请使用与上述相同的命令,然后向下滚动到底部,您将在其中看到此信息。

这就是将GPO应用于Active Directory中的计算机组的方法。

 

allway2
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Active Directory Cookbook, 3rd Edition.pdf
07-25
Chapter 1, Getting Started Sets the stage for the book by covering where you can find the tools used in the book, VBScript and PowerShell issues to consider, and where to find additional information. Chapter 2, Forests, Domains, and Trusts Covers how to create and remove forests and domains, update the domain mode or functional levels, create different types of trusts, and other administrative trust tasks. Chapter 3, Domain Controllers, Global Catalogs, and FSMOs Covers promoting and demoting domain controllers, finding domain controllers, enabling the global catalog, and finding and managing Flexible Single Master Operations (FSMO) roles. This will include coverage of the new Read-Only Domain Controller (RODC) that was introduced with Windows Server 2008. Chapter 4, Searching and Manipulating Objects Covers the basics of searching Active Directory: creating, modifying, and deleting objects, using LDAP controls, and importing and exporting data using LDAP Data Interchange Format (LDIF) and comma-separated variable (CSV) files. Chapter 5, Organizational Units Covers creating, moving, and deleting Organizational Units, and managing the objects contained within them. Chapter 6, Users Covers all aspects of managing user objects, including creating, renaming, moving, resetting passwords, unlocking, modifying the profile attributes, and locating users that have certain criteria (e.g., password is about to expire). This chapter includes coverage of the new Fine-Grained Password Policy feature that was introduced in Windows Server 2008. Chapter 7, Groups Covers how to create groups, modify group scope and type, and manage membership. Chapter 8, Computer Objects Covers creating computers, joining computers to a domain, resetting computers, and locating computers that match certain criteria (e.g., have been inactive for a number of weeks). Chapter 9, Group Policy Objects Covers how to create, modify, link, copy, import, back up, restore, and delete GPOs using the Group Policy
InstallUsingGPOTools:通过GPO安装应用程序或更新的PowerShell脚本
05-07
电源外壳 使用GPO工具安装 该项目包含用于通过GPO安装应用程序或更新的脚本。 概述 它包含两个PowerShell脚本,这些脚本将安装应用程序或Windows QFE更新。 这些脚本旨在与“启动/登录” GPO脚本一起使用,以安装这些更新。 将检查注册表或WMI,以查看是否已安装应用程序或更新。 如果已安装,则将跳过该过程。 我最初编写这些脚本是为了在我的实验室环境自动执行安装Notepad ++和WMF 5.0预览的过程。 它大致基于我在OfficeTools脚本编写的代码(用于通过GPO安装Office)。 安装应用程序 如果未设置注册表项/值,则从本地或网络媒体源安装应用程序。 #### Description通过执行安装程序安装程序(.EXE)文件从指定的媒体源安装应用程序。 还必须提供一个注册表项,以检查是否已安装该应用程序。 (可选)还可以检查注册表项的注册表值
ad-gpo-linker:PowerShell内置的本机Windows应用程序,旨在将多个GPO一次链接到多个OU
02-20
目的 提供一种一次性将多个GPO添加到多个OU的方法。 用例 我们的OU结构的一部分是基于角色和位置的。 通常,如果在同一位置存在包含多个角色的计算机,则我们必须将GPO链接到该位置的每个基于角色的OU。 要求 Windows 10 PowerShell v5 安装了Microsoft Windows Powershell Active Directory模块 指示 从/bin目录启动应用程序。 请注意,当前需要在具有上述要求的计算机以及加入域的计算机上使用该应用程序,并且您以具有管理策略和OU权限的AD用户身份登录。 目前尚无措施来处理失败的身份验证/授权... 在第一个对话框,检查要添加到OU的策略您可以通过单击“获取报告”按钮来查看GPO报告(以HTML格式) 在菜单工具栏选择标题为“链接/取消链接选GPO的收件人...”的选项 在新对话框,检查您希望链接所选策略
LocalGPO:针对本地系统应用 GPO
08-04
本地GPO 针对本地系统应用 GPO
[6]策略与安全设置
qq_41116260的博客
02-06 2448
[6]策略与安全设置
策略首选项的三种筛选方式:安全筛选,WMI筛选,项目级定位
allway2的博客
01-16 4739
问题:如果我们需要微调GP应用程序以仅将OU的对象子集作为目标,该怎么办?我们是否需要重新设计整个OU概念? 答:不一定,默认情况下,策略会带来两种可用于调整GP应用范围的工具:安全过滤和项目级定位。 安全筛选:这只是调整策略对象上一部分目标的权限(目标=策略范围内的用户和计算机)。用户和计算机需要对对象具有“读取”和“应用策略”权限,才能成功应用GPO。如果我们有一个“ LockD...
策略应用到满足条件的计算机---配置策略筛选
weixin_34101229的博客
02-22 430
配置策略筛选 Microsoft?Windows?Management Instrumentation (WMI) 大概是我们已知的 Microsoft 保存最好的秘密。尽管如此,但毫无疑问,WMI 是 Microsoft 主要的针对 Windows 的管理支持技术。 在Windows Server 2008的策略高级管理,对于将所添加设置的各种策略对象应用织单位上,除了一般常见的全...
2008R2策略安全筛选项使用体会
weixin_34072857的博客
10-24 695
当删除默认authenticated users后:1、如果要针对部分计算机使用策略,则选择计算机配置里的相关选项。2、如果要针对部分用户使用策略,则选择用户配置里的相关选项。实践心得;按上述规则去做,客户端实施结果很准确,但如果要针对用户实施策略而又选择了计算机配置,则客户端执行的结果不稳定,出现一会儿有,一会儿有没有。 转载于:https://blog.51c...
win03策略-入门篇
weixin_34377065的博客
02-02 192
入门篇一、策略概览one to many1.1 策略执行顺序本地策略→站点策略→域策略→父OU策略→子OU策略后执行的优先级高计算机策略优于用户策略不同层次的策略产生冲突时,子容器上的GPO级别高同一容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。先处理2再1,1会覆盖2的设置,...
Active Directory管理的21个有效技巧
allway2的博客
01-13 2742
这是在线的Active Directory管理提示的最全面的列表。 在本文,我将分享有关设计,命名约定,自动化,AD清理,监视,检查Active Directory运行状况等方面的技巧。 一探究竟: 1.整理您的Active Directory 如果您没有好的Active Directory织单位(OU)设计,那么您将会遇到问题。 首先,我将快速解释为什么良好的OU设计如此重要的三个...
Active Directory
04-15
Active Directory技术的最新、全面讲解,覆盖Windows Server 2003到 Windows Server 2012.
红帽企业级Linux 7和 Windows集成指南
QTM_Gitee的博客
11-03 1831
集成活动目录和LINUX环境的方法 IT环境有一个结构。其的系统是有目的安排。要整合两个独立的基础设施,就需要评估每一个环境的目的,并了解它们如何以及在何处进行交互。 定义WINDOWS集成 Windows集成可能意味着非常不同的东西,具体取决于Linux环境和Windows环境之间所需的交互。 这可能意味着单个Linux系统已注册到Windows域,这可能意味着Linux域被配置为Window...
策略规划和部署指南
weixin_34293059的博客
05-22 437
可以使用 Windows Server2008 策略来管理计算机和用户配置,包括以下各项所对的选项:基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。Windows Server2008 新增的策略首选项是二十多个策略扩展,用于扩展策略对象 (GPO) 的可配置策略设置的范围。 AD:2013大数据全球技术峰会课程PPT下载   可...
策略应用:强制执行及筛选
qq_58606689的博客
08-22 1024
前言:当下级容器不需要来自上级容器的策略时,且上级容器设置为强制继承,上级容器可以通过筛选将下级容器排除策略应用。 强制策略执行继承策略 (1)右击通信部已建好的GPO,选择强制 (2)此时策略已为强制执行 通过筛选,设置liming用户不受策略影响。 (1)此时点击委派,并将用户liming添加进去并拒绝应用策略 (2)由于我们的策略为删除注销,由此我们登录各用户验证效果,先登录迪迦用户,可以看到由于没有进行筛选所以策略生效,注销键消失 (3)登录li..
策略用户策略仅对特定计算机生效,将策略应用到满足条件的计算机---配置策略筛选...
weixin_30884379的博客
06-18 1185
配置策略筛选Microsoft?Windows?Management Instrumentation (WMI) 大概是我们已知的 Microsoft 保存最好的秘密。尽管如此,但毫无疑问,WMI 是 Microsoft 主要的针对 Windows 的管理支持技术。在Windows Server 2008的策略高级管理,对于将所添加设置的各种策略对象应用织单位上,除了一般常见的全部应用之...
控制用户计算机,使用GP控制用户与计算机.ppt
weixin_42503813的博客
06-23 155
使用GP控制用户与计算机使用GP控制用户和计算机 使用Group Policy控制用户和计算机; Windows2000 的网络管理主要是以来Group Policy (策略)来进行; Group Policy 是在活动目录(AD)上的最大应用策略是检验一个网络管理员管理水平的一个很重要的方面; 内容提要 微软的管理结构 什么是策略 Group Policy的建立和配置 Gro...
AD域策略应用
m0_50818626的博客
03-30 3044
在域内可以针对站点、域或织单元来设置策略,其的域策略内的设置会被应用到域内所有计算机与用户,而织单元的策略会被应用到该织单元内的所有计算机与用户。策略设置若要在客户端发生作用,客户计算机的操作系统或应用程序必须支持策略,首选项不需要。如果在一个对象上存在多个GPO策略,那么按照GPO策略编号从高往低执行,最后执行的策略生效。默认域策略与域控制器安全策略冲突时,对于DC来说默认域控制器策略优先,域安全策略无效。(1)本地安全策略与默认域策略有冲突,以默认域策略优先,本地设置无效。
如何创建GPO并将其链接到域
allway2的博客
01-15 4708
本指南探讨了创建GPO并将其链接到域的两种方法。 先决条件:只有域管理员,企业管理员或策略创建者所有者的成员才能创建新的策略对象(GPO)并编辑现有的对象。 创建GPO并将其链接到域 单击开始–管理工具–策略管理 策略管理程序将打开。导航到要创建GPO的域(例如,我们的域为CloudBT.com),然后展开“策略对象”文件夹。 单击操作–新建。出现“新建GPO”对话...
Active Directory 域环境,下发文件命令
最新发布
06-13
Active Directory 域环境,可以使用 Group Policy 对象(GPO的“文件分发”功能来下发文件。具体操作步骤如下: 1. 在域控制器上打开“策略管理器”,然后右键单击要配置的 GPO,选择“编辑”。 2. 在“策略管理编辑器”窗口,依次展开“计算机配置”或“用户配置”、“偏好设置”、“Windows 设置”。 3. 右键单击“文件”,然后选择“新建”->“文件”。 4. 在“新建文件”窗口,配置要下发的文件的详细信息,包括源文件路径、目标路径、操作等。 5. 配置完成后,保存并关闭 GPO 编辑器窗口。 6. 将该 GPO 应用到目标计算机或用户上,等待 GPO 下发并生效。 注意:在配置“文件分发”功能时,需要注意文件的权限设置,确保目标计算机或用户具有读取和执行该文件的权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值