您可以使用 WMI 筛选和计算机组策略的安全组筛选来完成一些事情。WMI 筛选具有在每个组策略应用程序上动态计算的附加功能(相对于必须手动更改才能影响筛选的安全组成员身份)。如果您的计算机位于不同的 OU 中而没有 WMI 可过滤属性且需要应用通用组策略对象,则安全组过滤仍然有用。我经常对计算机使用安全组过滤来控制软件安装策略(其中我有一个分配了多个软件包的 GPO,每个软件包都有一个唯一的 ACL,其中包括一个组来控制软件安装)。
抛开我上面所说的一切,你能做的最重要的事情是确保你完全理解组策略客户端如何计算策略的结果集,并根据这些知识,在将它们投入生产之前集思广益并测试可能的设计。我坚信测试应该从笔和纸(白板等)而不是软件开始。您需要具备足够的组织知识,才能设计出真实的场景并对其进行测试。让您的 IT 组织中的其他团队(如果需要,还包括 IT 组织外部的团队)参与进来。例如,您的帮助台团队将拥有驱动物理 OU 层次结构的控制需求委托。您的桌面支持团队可能有驱动计算机组策略过滤的软件安装需求。
如果没有对您正在寻找的特定场景的一些解释,很难给您任何“逐步”。
用户组策略应用程序受以下因素影响:
以上就是控制用户组策略应用的所有机制。在所有这些功能之间,您可以创建相当复杂的部署场景。
您的 OU 层次结构应始终首先根据计划的控制委派进行设计。您只能获得一个 OU 层次结构,并且没有良好的机制将控制委派与 OU 层次结构分离。首先设计控制委派,其次是组策略应用程序。
我专注于使用安全组成员资格来过滤用户组策略应用程序。永远不要忘记 GPO 中的某些设置具有与 GPO 本身分开的 ACL。“Block Inheritance”和“Enforced”/“No Override”功能应谨慎使用,通常表示设计已损坏。Loopback Group Policy Processing 是一个非常强大和有用的工具,但理解起来有点复杂。
你关注的是用户,但我也会花点时间谈谈计算机。计算机组策略应用程序具有与用户组策略相同的所有过滤功能,但还包括 WMI 过滤。WMI 筛选可以让您将 GPO 定位到计算机的特定硬件或操作系统相关属性。我经常看到在过滤计算机组策略时忽略了安全组过滤。
您可以使用 WMI 筛选和计算机组策略的安全组筛选来完成一些事情。WMI 筛选具有在每个组策略应用程序上动态计算的附加功能(相对于必须手动更改才能影响筛选的安全组成员身份)。如果您的计算机位于不同的 OU 中而没有 WMI 可过滤属性且需要应用通用组策略对象,则安全组过滤仍然有用。我经常对计算机使用安全组过滤来控制软件安装策略(其中我有一个分配了多个软件包的 GPO,每个软件包都有一个唯一的 ACL,其中包括一个组来控制软件安装)。
抛开我上面所说的一切,你能做的最重要的事情是确保你完全理解组策略客户端如何计算策略的结果集,并根据这些知识,在将它们投入生产之前集思广益并测试可能的设计。我坚信测试应该从笔和纸(白板等)而不是软件开始。您需要具备足够的组织知识,才能设计出真实的场景并对其进行测试。让您的 IT 组织中的其他团队(如果需要,还包括 IT 组织外部的团队)参与进来。例如,您的帮助台团队将拥有驱动物理 OU 层次结构的控制需求委托。您的桌面支持团队可能有驱动计算机组策略过滤的软件安装需求。