はい当然保証グループにグループの方針を割り当てることができる!
私はブログこれすぐになる-それはであるより大きい記事を「いつか処理している」 GPの部分しかし… しかしこれは速くそこに出る必要性IMHOの重要な原料である 
私は余りにも多くの時間次の文を聞いた(何とかしてで): "You can only assign Group Policy Objects to Site, Domain Level or OU’s"…
-しかしそれただある 部分的に 本当! 通常ニユースグループ、フォーラム等で。 これは読者を去る(例えば。 GPの質問をしたまたはあなたによって確かののメンバーに「できない印象とのものは何でも)誰かは当った」 保証グループ ただ(残す 「場所かDomain/OUのろ過」 および/または 「WMIろ過」の 唯一の可能なとして利用できる選択)。 But that’s simply not fair to the amazing Group Policy processing engine!
(WS2003が着いた後) 「ろ過する」がWMIこのごろかなり有名であるのに、多くの人々は-非常に効果があり、適用範囲が広い-呼ばれる事少しを忘れがちである 「保証ろ過」 (のにWMIと比較されるそれがである幾分もっと「基本的」)…
…興味を起こさせられれば分か2のためのそれ述べよう
どちらかのグループの方針のマネジメントコンソール(GPMC)の内で規模タブをこのろ過種類のろ過することを置くことができる:
-または委任タブ(より進む):
見ることができるように デフォルト すべてのグループの方針の目的(GPO)は含んでいる 「認証済みユーザ」 with both Allow:"Read" そして 割り当てなさい: 「適用しなさいグループの方針」を 許可は置いた。 両方の許可は必要のためにである ユーザーおよびコンピュータ (またはプロセス)ある特定のGPOで取るため:
非常に重要な「認証済みユーザ」のグループについての事は含んでいることである 広告の範囲内のすべてのユーザーおよびコンピュータ記述または目的 (余りに、正しの範囲のコントローラー)。 従って、デフォルトでGPOは両方のコンピュータおよびユーザー(私達はGPOの部品等をに不具にすること述べようとは思っていない適用する。 now).
それは「技術的な」説明なぜ置かれる方針である
a) 場所は場所内のすべてのユーザーそしてコンピュータに適用する(ユーザーの場所はコンピュータ場所、場所に続くIPアドレスに続く)
b) 範囲のレベルは範囲内のすべてのユーザーそしてコンピュータに適用する
c) ある特定のOUはそれの内のすべてのユーザーそしてコンピュータに特定OU適用する(および補助的OUsその点では)
=> 「認証済みユーザ」の保証グループがデフォルトでそこにいるので。 これらは呼ばれる何かによって新しいGPOsの許可の扱われる履行を怠る 「保証ディスクリプター」、しかし他のブログのそれの多くまたは記事。
So, we have Security permission on all of our GPOs (unfortunately not the GPO links, but that’s another talk) - leaving us with GREAT power to control to whom he particular GPO should be assigned (or ‘applied’). All we need to do is to change the default permissions and <Zaboooka!> we are in complete control.
First step is generally to remove the "Authenticated Users" group from the GPO in question. Click Remove (below Security Filtering section) on the Scope tab and click OK:
Click Add… and select the domain security group you want to "hit" - click OK when done:
And <poof>, this GPO will only apply to members of "The Sales Group" - or whatever group (or user, or computer object…) you selected:
Now all you need to do is to link the GPO to the Domain Level (or Site or OU if that’s better in your case) - but the Domain Level should be fine for most environments.
Now, you could turn this around and Exclude certain groups, users or computers - by setting Deny:"Apply Group Policy" instead. In some cases that might be the best choice - but as always with "deny" you have to watch out (manly because deny overwrites allow)!
Also note, that Security groups can include both user and computer accounts - we are maybe used to thinking that groups are for users only (in my experience most admins know the "Domain Users" group - but the "Domain Computers" group is not that well known)… But, with this in mind, you could make a group of computers instead of applying a WMI filter for instance (which is generally slower).
You could use other methods for setting permissions than the GPMC (like scripts) - but the GPMC is a wonderful tool for doing this easily - no sweat!
One way of automatically creating Security Groups from members of an OU is described in my article "Configuring Granular Password Settings in Windows Server 2008, Part 2" - these groups are referred to as Shadow Groups (cool, right). In some "filtering situations" that is nice to know…
Wow - that was nice getting it off my shoulders, and now I can refer to this blog entry whenever I get the question again - and so can you of course
.
Popularity: unranked
Popularity: unranked
Written by Jakob H. Heidelberg. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and Group Policy and GPO.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
