我设置了一项策略,在提示输入密码 7 分钟后强制执行屏幕保护程序并锁定。我发现有一些机器可以豁免。我制定了另一项策略来禁用属于特定组的设备的屏幕保护程序。我还设置了环回,因为屏幕保护程序策略位于用户组策略上,但我希望它在每台计算机上应用。因此,我使用过滤器将组策略应用于所有用户,除非您在其中一台“豁免”机器上。我在机器上运行 gpresult 并且它正在应用正确的策略,但是首先应用获取屏幕保护程序的策略,然后阻止屏幕保护程序的禁用设置运行。有没有办法让计算机策略在用户策略之前运行?如果是这样,如何以及是否有更好的方法来做到这一点?
AskOverflow.Dev
一种更简洁的方法是将屏幕保护程序策略仅应用于应该拥有它的机器。这比将策略应用于所有内容,然后尝试撤消其中一些要好。
您可以通过按安全组(例如Screensaver Enabled)过滤 GPO 来做到这一点,然后将所有应具有屏幕保护程序 GPO 的计算机设为Screensaver Enabled组的成员。
编辑
由于不需要 GPO 的对象如此之少,创建一个名为Screensaver Disabled的安全组,使目标计算机成为该组的成员,编辑 Screensaver GPO 的安全性,添加组Screensaver Disabled,然后为Apply Group Policy选择Deny允许。
如果您只需要计算机策略,Izzy 说的很好。您正在寻找的是环回组策略处理。
屏保相关的策略设置是用户策略设置,所以需要为“合并”模式启用环回组策略处理(计算机设置-管理模板-系统-组策略-用户组策略环回处理模式)(以允许您现有的用户设置继续应用)在新的或现有的 GPO 中,该 GPO 已经适用于需要“豁免”其他通用屏幕保护程序设置的计算机。如果您只想将此“豁免”应用于链接 GPO 的 OU 下的计算机子集,请创建一个包含这些计算机的安全组,将其添加为具有“读取”和“应用组策略”权限的 GPO,其中包含此环回组策略处理,将“Authenticated Users”从权限中去掉,并添加“
完成此操作后,您需要设置必要的策略设置以“禁用”屏幕保护程序设置。这些是用户设置,您可以将它们放入您打开环回组策略处理的同一 GPO 中。如果您确实使用设置环回组策略处理设置的相同 GPO,并且您已将该 GPO 的应用程序过滤到安全组,请确保将具有“读取”和“应用组策略”权限的“域用户”添加到该 GPO,因为用户设置的实际应用发生在登录用户的上下文中,而不是计算机。
重新启动其中一台“豁免”计算机并尝试一下。
当这些“豁免”计算机启动时,它们将应用在“合并模式”下启用环回组策略处理的 GPO。这实际上意味着,在应用所有普通用户 GPO 设置后,将进行第二次域传递,查找包含用户设置但适用于目录中计算机对象位置的 GPO(想想环回策略处理“合并模式”就像在登录期间“神奇地”将用户对象的副本放入与计算机相同的容器中,从而将计算机上方 GPO 中的任何用户设置也针对用户)。
您可能还没有使用环回组策略处理,所以我上面描述的这种非常简单的方法可以正常工作。如果您已经在使用环回 GPO 处理,那么按安全组对“豁免”计算机进行过滤就会出现问题(并且超出了我愿意在此答案中描述的范围)。如果你已经在那里,你应该已经知道如何做你想做的事......>微笑<
显然,在对生产计算机/OU 执行此操作之前,我建议阅读环回组策略处理并在测试 OU 中使用临时计算机运行一些测试。这是理解组策略客户端用于选择适用于用户/计算机的策略的算法的情况之一,而不是仅仅依靠像 GPMC“计划模式”这样的工具是一个巨大的胜利。我会把你引向微软的一篇文章,但他们没有什么不烂的(即谈论 GPO 的“优先级”和其他类似的愚蠢,而不仅仅是详细解释算法......>sigh< )。
总有一天(不是今天,Kyle!我今天没有时间......)我会写一个关于服务器故障算法的描述。