禁止组策略应用于管理员帐户
多数情况下,如果希望组策略仅应用于特定帐户(无论是用户帐户、计算机帐户还是两者都应用),您可以通过将帐户放置于组织单元中,然后在组织单元级别应用组策略来实现此功能。然而,在有些情况下,您可能希望将组策略应用于整个域,但不希望这些策略设置也应用于管理员帐户或其他特定的用户或组。下面的过程通过编辑策略的 ACL(访问控制列表),禁止组策略应用于管理员帐户(或指定的任何其他组或用户帐户):1. | 单击开始,指向程序,指向管理工具,然后单击“Active Directory 用户和计算机”。 | ||||||||||
2. | 在左边的控制台树中,右键单击应用策略的域名,然后单击属性。 | ||||||||||
3. | 单击组策略选项卡。 | ||||||||||
4. | 单击您不希望应用于管理员的组策略对象。默认情况下,窗口中列出的唯一的策略是“默认域策略”。 | ||||||||||
5. | 单击属性,然后单击安全选项卡。如果您不希望应用策略的组或用户没有出现在列表中,请执行下列步骤:
| ||||||||||
6. | 单击您不希望应用策略的管理员组(或其他组或用户)。 | ||||||||||
7. | 在权限窗口中,单击选中应用组策略权限的拒绝复选框。这将禁止访问组策略对象并将其应用于所选的组或用户帐户。 |