场景如下:GPO 链接到 OU 以启用,例如,UAC 设置。但是,由于某些系统需要禁用 UAC,因此有一个 GPO 可以禁用这些设置。此 GPO 链接到安全组。这些系统是特定安全组的成员,并且仍将放置在具有“启用”设置 GPO 的 UAC 的 OU 中。
那么哪个 GPO 是赢家呢?
根据我的测试,在安全组之前链接到 OU 的 GPO 总是获胜。这个问题有什么解决办法吗?
我想使用 powershell 编写脚本来显示和编辑 Active Directory 对象的审核规则,而不是通过如下所述的 GUI 操作:从 Active Directory 用户和计算机中,在“查看”菜单中启用“高级功能”,选择“域”左侧窗格中的 Controllers OU” 右键单击“Domain Controllers OU”对象并选择“Properties” 选择“Security”选项卡 选择“Advanced”按钮,然后选择“Auditing”选项卡
这是我到目前为止所拥有的。首先获取OU的distinguishedName:
import activedirectory
set-location ad:
dir
将上面 dir 输出中正确的 distinctName 插入 Get-Acl:
$acl = Get-Acl -Path "DC=something,DC=somethingElse"
$acl 对象的 GetSecurityDescriptorSddlForm 方法似乎相关,但不提供人类可读的输出。接下来我尝试了:
$domain = Get-AdDomain -Server "serverName"
$domainSID = $domain.DomainSID
$acl.GetAuditRules(1,1,$domainSID)
但这给出了一个错误:无法将 GetAuditRules 的参数 targetType 与值“...”转换为类型“System.Type”:无法将 System.Security.Principal.SecurityIdentifier 类型的“...”值转换为类型“System.Type”。类型”
GetAuditRules 的文档似乎说它将接受第三个参数的 SecurityIdentifier,这就是我认为我提供 GetAuditRules 方法的内容。 https://docs.microsoft.com/en-us/dotnet/api/system.security.accesscontrol.commonobjectsecurity.getauditrules?view=dotnet-plat-ext-3.1
另外,这里的帖子似乎相关,但我不明白如何选择正确的构造方法来创建 ActiveDirectoryAuditRule,以及如何收集所需的参数,例如 GUID https://social.technet.microsoft.com/Forums /en-US/70881826-6189-48c0-8ee7-0d79aa18f085/powershell-to-set-audit-flags-on-ou?forum=ITCG
任何帮助表示赞赏。谢谢!
我想问你,如何在不同的PC上为不同的用户OU实现不同的GPO。我对此还是有点陌生。它运行的是 Windows Server 2012 R2。
为了理解我们的OU结构,这里有一张图: OU结构
例如,我将讨论禁用任务管理器。问题是,来自部门 OU 的用户正在登录到他们自己的工作站以及 RDS 服务器。我需要允许他们在他们的工作站上拥有任务管理器,而不是在 RDS 上。远程用户也是如此,他们主要记录到 RDS 并且不应该有任务管理器。但是还有一些超级用户,他们的工作站和 RDS 上都应该有任务管理器。但我还需要他们运行脚本,如果他们登录到工作站,而不是 RDS。
我知道要为部门 OU 禁用 RDS 上的任务管理器,我可以使用环回处理,但我很困惑如何为 Power 用户实现不同的 GPO。我是否需要将它们放在单独的安全组中,使用环回处理创建两个 GPO,并使用安全过滤将它们分开?还是有其他方法?
谢谢你。
Windows Server 2012 R2 和 Windows 10 Pro 客户端。
太好了...我在 AD 早期尝试使用 OU,但我不小心将 GPO 应用于我的整个域,这不应该。
我现在需要创建一个 GPO 来撤销我所做的。
其中一些更改
Computer Config -> Preferences -> Windows Settings -> Registry很容易创建一个不同的 GPO 来放回默认值,或者完全删除密钥。但是,我还有一个计划任务,该任务已
Computer Config -> Preferences -> Control Panel Settings -> Scheduled Tasks发送到我的所有计算机,我现在需要将其删除。我想创建一个新的 GPO 来删除该任务。好吧,有一个Delete选项Scheduled Tasks,所以这似乎是完成我需要做的事情的明显方法。但是,我不确定仅仅精确匹配Name任务是否足够,或者任务的所有设置是否必须精确匹配才能成功删除任务。我最不确定在
Computer Config -> Policies -> Administrative Templates. 所以,我有几个启用或禁用的设置。如果我没记错的话,管理模板设置存储在每个本地注册表的一个特殊位置。如果我只是取消链接原始 GPO(它已经是),本地计算机会停止使用这些管理模板设置吗?如果不是,如果我将具有相同设置的新 GPO 链接为Not configured,它实际上是否会将设置恢复为其原始状态,或者我是否必须创建一个新的管理模板,专门将每个更改的设置设置回其原始状态?基本上,将这些 ADMX 文件的更改恢复到默认状态的最佳方法是什么?
所以它们都是您用来组织其他对象的对象。您可以将用户、组和计算机添加到它们。
- 它们之间有什么区别?
- 在公司(OU 或 Groups)中划分不同部门的用户和计算机的最佳方法是什么?
我有一个修改用户和计算机配置的 GPO。在此 GPO 上,基于主机名的 WMI 过滤器会排除某些计算机。
select Name from Win32_ComputerSystem where (Name <> "comp1-*")
select Name from Win32_ComputerSystem where (Name <> "comp2-*")
select Name from Win32_ComputerSystem where (Name <> "comp3-*")
每一行都是过滤器中的一个单独的请求。
GPO 链接到父 OU,默认情况下,安全过滤留给“经过身份验证的用户”。
我的 GPO 仍然应用在父 OU 和子 OU 的所有计算机上。
有任何想法吗 ?
谢谢你。
我添加这个 Q/A 是因为我今天偶然发现了这个限制,但我找不到任何关于它的文档;有 一篇关于这个问题的旧 KB 文章,但它目前没有被谷歌索引(可能是因为它是几年前发布的并且从未更新过),并且这个问题从未在其他地方提及。
是否可以在父域中创建与子域同名的 OU?
是否可以在父域中创建与 OU 同名的子域?
我需要配置两种可以管理 AD 用户和安全组的用户:
- 类型 1 - 只能在特定 OU 中创建用户。
- 类型 2 - 只能更改在上述 OU 中创建的用户的组成员身份。
我是根据委派控制功能来做的。想法是没有单一的信任点来创建用户并将其添加到安全组,因此该操作至少需要 2 人。
类型 1用户的一切都很清楚。我刚刚为用户帐户配置了委派控制,并设法在仅设置 OU(即操作员)中创建用户。
对于类型 2,它变得更加复杂,因为正如我所注意到的,它不是与用户相关联的组,而是与组相关联的用户。我只能更改 1 个 OU(即 Operators 组)的组成员身份,但我可以将任何用户添加到该 OU 中的组。这意味着负责修改组成员身份的用户可以将自己添加到我不接受的任何组中,因为只有类型 1用户创建的用户才能添加到类型 2用户控制的安全组中。
从理论上讲,我只看到正确的解决方案如何实施,即限制安全组或 OU 级别以修改不允许 OU 中的用户的组成员身份,但是我正在谷歌搜索和调查 Microsoft 知识库但无法找到任何足够的信息如何做到这一点。
也许有人知道这是如何实现的,或者可以建议我如何实现必要的配置?