我想为活动目录用户创建软件部署 GPO。添加到活动目录的每台新计算机都出现在名为“计算机”的容器中(在活动目录用户和组中),我想使用这个“计算机”容器在 GPO 上进行安全过滤,以便添加到 AD 的每台新 PC 都将获得软件部署 GPO,我不必为每台新 PC 手动添加它。我注意到我不能将“计算机”容器用作安全过滤的对象,而且我不知道应该使用什么来避免手动将新 PC 添加到 GPO。
这是一些屏幕截图,可以更好地理解我想要做的事情:
AskOverflow.Dev
我想为活动目录用户创建软件部署 GPO。添加到活动目录的每台新计算机都出现在名为“计算机”的容器中(在活动目录用户和组中),我想使用这个“计算机”容器在 GPO 上进行安全过滤,以便添加到 AD 的每台新 PC 都将获得软件部署 GPO,我不必为每台新 PC 手动添加它。我注意到我不能将“计算机”容器用作安全过滤的对象,而且我不知道应该使用什么来避免手动将新 PC 添加到 GPO。
这是一些屏幕截图,可以更好地理解我想要做的事情:
我认为您混淆了 GPO 安全过滤和 GPO 分层范围。安全过滤 ACL 只处理帐户和组,从不处理容器。另一方面,GPO 可以直接链接到任何 OU 下(尽管不在内置容器下),而无需安全过滤。组和容器不是一回事。
因此,如果您希望 GPO 应用于所有计算机,则根本不需要搞乱安全过滤。默认的GPO 安全筛选 ACL 已经允许将 GPO 应用于任何用户和任何计算机。(您可能不必要地删除了这些。)
Domain Computers(但如果出于某种原因,您希望 GPO 只能由机器帐户访问,而不能由用户直接访问,那么您可以使用所有机器帐户都是其成员的内置组。)就像您已经为您的用户设置了组织单位一样,您应该为您的计算机做同样的事情 - 不要简单地将它们全部转储到“计算机”容器下......如果必须将 GPO 应用于所有 PC,只需链接它在域根目录,但如果它必须仅应用于特定的 PC,请将它们移动到各自的 OU 并链接该 OU 下的策略。