Да of course вы можете задать политики группы к группам обеспеченностью!
Я blog это право - прочь - оно буду часть более большого «GP обрабатывая» статью на некоторый этап однако… Но это будет веществом IMHO важным потребности get out там быстро 
Я слышал following предложение too many времен (в one-way или другом): «Вы можете только задать предметы политики группы к месту, уровню домена или OU»…
- но то только отчасти поистине! Нормальн в newsgroups, cEtc форумов. это выходит читатели (например. кто-то спросили вопрос о GP или) с впечатлением вы не можете «ударило» члены уверенного Группа обеспеченностью только (оставляет вы с «Фильтровать места/Domain/OU» and/or «Фильтровать WMI» как единственное по возможности имеющиеся выборы). Но то не просто справедливо к amazing политике группы обрабатывая двигатель!
Даже если «WMI фильтруя» довольно well-known these days (после того как WS2003 приехало), много людей клонат забыть маленькую - но весьма эффективно и гибко - вызванную вещь «Фильтровать обеспеченности» (даже если оно несколько больше «основные» сравнено к WMI)…
Препятствуйте нам talk about оно для минуты или 2 если вы заинтересованы…, то
Вы можете установить это вроде фильтруя внутри пульт управления политики группы (GPMC) на любом плату объема:
- или плата делегации (бит более выдвигать):
По мере того как вы можете увидеть, мимо НЕВЫПОЛНЕНИЕ ОБЯЗАТЕЛЬСТВА все предметы политики группы (GPO) вклюают «Authenticated потребители» с обоими Позвольте: «Прочитано» и Позвольте: «Приложите политику группы» позволения установили. Both of these позволения необходимы для потребители и компьютеры принять на (или процесс), котор дали GPO:
Вещь о очень важной «группе Authenticated потребителей» что она вклюает ВЕСЬ учет потребителя И компьютера/предметы в пределах домена ОБЪЯВЛЕНИЯ (Регуляторы домена слишком, справедливо). Так, мимо не выполните GPO обязательство применяет к обоим компьютерам и потребителям (мы не идем talk about выводя из строя cEtc частей GPO. теперь).
То будет «технически» объяснение почему политики помещенные дальше
a) место применяется к ВСЕМ потребителям и компьютерам внутри место (место потребителей следует за местом компьютера, местом следует за ip address)
b) уровень домена применяется к ВСЕМ потребителям и компьютерам в пределах домена
c) VSе, котор дали OU применяются к ВСЕМ потребителям и компьютерам в пределах того определенные OU (и sub-OUs для того дела)
=> потому что «группа обеспеченностью Authenticated потребителей» там мимо невыполнение обязательства. Эти не выполняют позволения обязательство на новом GPOs отрегулированы вызванным что-то «Дискрипторы обеспеченностью», только больше на том в некотором другом blog или статья.
So, we have Security permission on all of our GPOs (unfortunately not the GPO links, but that’s another talk) - leaving us with GREAT power to control to whom he particular GPO should be assigned (or ‘applied’). All we need to do is to change the default permissions and <Zaboooka!> we are in complete control.
First step is generally to remove the "Authenticated Users" group from the GPO in question. Click Remove (below Security Filtering section) on the Scope tab and click OK:
Click Add… and select the domain security group you want to "hit" - click OK when done:
And <poof>, this GPO will only apply to members of "The Sales Group" - or whatever group (or user, or computer object…) you selected:
Now all you need to do is to link the GPO to the Domain Level (or Site or OU if that’s better in your case) - but the Domain Level should be fine for most environments.
Now, you could turn this around and Exclude certain groups, users or computers - by setting Deny:"Apply Group Policy" instead. In some cases that might be the best choice - but as always with "deny" you have to watch out (manly because deny overwrites allow)!
Also note, that Security groups can include both user and computer accounts - we are maybe used to thinking that groups are for users only (in my experience most admins know the "Domain Users" group - but the "Domain Computers" group is not that well known)… But, with this in mind, you could make a group of computers instead of applying a WMI filter for instance (which is generally slower).
You could use other methods for setting permissions than the GPMC (like scripts) - but the GPMC is a wonderful tool for doing this easily - no sweat!
One way of automatically creating Security Groups from members of an OU is described in my article "Configuring Granular Password Settings in Windows Server 2008, Part 2" - these groups are referred to as Shadow Groups (cool, right). In some "filtering situations" that is nice to know…
Wow - that was nice getting it off my shoulders, and now I can refer to this blog entry whenever I get the question again - and so can you of course
.
Popularity: unranked
Popularity: unranked
Written by Jakob H. Heidelberg. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and Group Policy and GPO.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
