我在创建仅适用于某些计算机和安全组的 GPO 时遇到了困难。这是我想做的。
我有一个 OU,里面有几台计算机。我想应用一个 GPO,它会导致已空闲 x 时间的远程会话断开连接,并且断开连接的会话在 y 时间后注销。我需要将其仅应用于特定安全组中的用户。
我创建了 GPO 并更改了计算机配置 -> 策略 => 管理模板 -> Windows 组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 会话时间限制中的 2 个设置。
接下来,我将 GPO 链接到我的目标 OU 并打开 Enforce 复选框。我更改了范围安全过滤以删除经过身份验证的用户(因为如果我不这样做,它会应用于每个人),然后我添加到我的安全组中。我还添加了域计算机组(因为如果我不这样做,它不会应用于任何人)
问题是 GPO 仍然适用于不属于安全组的用户。如果我将 GPO 从计算机配置更改为用户配置,则 GPO 根本不会应用于任何用户。
我还尝试将安全组移动到单独的 OU 并将 GPO 链接到该 OU,但这也不起作用。
看起来我的配置应该可以工作,但我无法弄清楚为什么它将它应用于组内的用户。任何帮助表示赞赏!
有几件事:
计算机配置设置适用于计算机,而不是用户。这就是为什么您需要将域计算机组添加到 GPO 安全过滤...因为计算机配置设置适用于计算机...所以 GPO 只能影响 GPO 链接的 OU 中的计算机并且在安全中组被用作安全过滤器。因此,这些设置将应用于登录到链接 GPO 的 OU 中的计算机的每个用户......因为这些是计算机配置设置。
您不能将组策略直接应用于组。组策略适用于计算机和/或用户。您可以使用组过滤 GPO,使其仅应用于安全组的成员(用户或计算机)。
如果您只想将这些设置应用于用户的子集,请在用户配置下配置这些设置...然后将 GPO 链接到您的用户帐户所在的 OU...并使用安全过滤将 GPO 应用于子集作为安全组成员的用户。
您提到您的 OU 包含几台计算机,您的安全组的用户帐户如何?他们坐在同一个OU中吗?如果我没记错的话,只有当用户帐户位于该特定 OU 中时,用户配置才有效。