none
组策略只应用一台计算机或者用户 RRS feed

  • 问题

  • 是不是在组策略的作用域的安全筛选里面把 “Authenticated Users”删除,放上需要应用的计算机、用户或者组?

    2020年12月17日 5:49

答案

  • 您好,

    感谢您的回复。

    如果是将计算机添加到安全组的话,需要重新启动计算机才能让其识别自己的组。

    如果之前已经将计算机添加到安全组并且已经重启识别了组的话,一般而言,安全筛选改动后,如果计算机已经启动,手动强制刷新下或者等待90-120分钟,策略就会应用。

    对于一些特殊的GPO设置,例如文件夹重定向,驱动器映射,软件安装和磁盘配额,我们必须重新启动计算机或注销并登录用户帐户以刷新这些GPO设置。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Air_9 2020年12月30日 9:19
    2020年12月28日 2:02
  • 您好,

    请问我们的问题解决了吗?如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复。感谢您的理解与支持。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Air_9 2020年12月30日 9:19
    2020年12月30日 8:55

全部回复

  • 尊敬的客户,您好:

    感谢您的发帖。

    如果我们希望策略仅适用于一组用户或者计算机而不是组织中的每个人或每一台计算机,则可以考虑安全过滤。

    例如,我们可以仅向Authenticated Users授予Read权限,然后添加安全组(您要应用策略的组),并赋予Read和Apply的权限。 然后,该策略将应用于该安全组。

    对于安全筛选,此组策略现在仅适用于属于安全组成员的用户或计算机。 但是,仍然需要记住,用户和/或计算机应该是此组策略对象链接到的站点/域/ OU的一部分。

    我们可以尝试上述的方法。如果我们想删除Authenticated Users组的话,可以尝试以下方法:

    1,如果是计算机配置的话,删除Authenticated Users组,然后添加上要应用策略的包含计算机对象的安全组,赋予Read和Apply的权限。
    2,如果是用户配置的话,删除Authenticated Users组,需要添加上要应用策略的包含用户对象的安全组,赋予Read和Apply的权限。另外还需要添加上包含计算机对象的安全组,赋予Read的权限。

    参考文档:https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/assign-security-group-filters-to-the-gpo

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月17日 8:46
  • 测试基于用户配置

    能对安全组里面包含的用户生效

    测试基于计算机配置

    发现策略无法对安全组里面的计算机生效,这是为什么?

    2020年12月17日 9:16
  • 您好,

    感谢您的回复。

    请问,计算机配置和用户配置是在同一个OU里面的吗?

    组策略要应用成功的话,需要添加计算机对象到特定的OU里面,然后在此OU处创建GPO,GPO里面设置计算机配置。所以需要确保计算机对象存在OU里面。

    另外,包含计算机对象的安全组,是否赋予了Read和Apply的权限了呢?

    如果策略不生效的话,我们可以运行gpresult /h C:\report.html检查下具体原因。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月18日 1:45
  • 您好,

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月21日 5:53
  • GPO 挂着的OU是包含这台计算机的

    安全组也添加了计算机,并且赋予了GPO的读取和应用权限。

    Gpresult /r 查看没有应用的原因写着,拒绝(安全)

    2020年12月21日 9:33
  • 您好,

    感谢您的回复。

    我在测试环境中,做个如下测试,希望对您有所帮助。

    1,创建OU,并添加计算机对象,同时创建计算机组,包含要应用策略的计算机对象。



    2,创建GPO,并linked到上述的OU。Scope栏删除“Authenticated Users”,并添加自己的自定义组,并赋予Read和Apply的权限。





    3,我的测试中,组策略配置如下:



    4,然后测试策略是否成功应用。我的测试中,将会在WIN8计算机上创建快捷方式,而在WIN1010计算机上不会创建此快捷方式。

    管理员账户登录WIN8,可以看到桌面创建的快捷方式,并且组策略报告中(gpresult /h C:\report.html),策略也成功应用。




    管理员账户登录WIN1010,桌面不会创建快捷方式,并且组策略报告中此GPO是拒绝应用状态。



    希望以上的信息对您有所帮助。建议我们可以再次检查下配置,然后运行gpresult /h C:\report.html查看下组策略报告。我们推荐运行此命令,可以较清楚能看到组策略应用的状态。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月22日 3:20
  • 您好,

    请问,我们的问题解决了吗?

    如有任何问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月24日 1:28
  • 我明天在测试一下,如有问题我把报告输出出来。
    2020年12月24日 9:38
  • 您好,

    好的,如有任何问题,请随时联系我们。
    感谢您的支持。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月24日 9:52
  • 我不知道你们这个论坛怎么不能上传图片了。

    我重启了下客户端,策略就可以成功。

    这个安全筛选改动后,客户端必要重启才可以生效吗?


     

    • 已编辑 Air_9 2020年12月24日 10:58 Error
    2020年12月24日 10:26
  • 您好,

    感谢您的回复。

    如果是将计算机添加到安全组的话,需要重新启动计算机才能让其识别自己的组。

    如果之前已经将计算机添加到安全组并且已经重启识别了组的话,一般而言,安全筛选改动后,如果计算机已经启动,手动强制刷新下或者等待90-120分钟,策略就会应用。

    对于一些特殊的GPO设置,例如文件夹重定向,驱动器映射,软件安装和磁盘配额,我们必须重新启动计算机或注销并登录用户帐户以刷新这些GPO设置。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Air_9 2020年12月30日 9:19
    2020年12月28日 2:02
  • 您好,

    请问我们的问题解决了吗?如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复。感谢您的理解与支持。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Air_9 2020年12月30日 9:19
    2020年12月30日 8:55
  • 已经解决了,谢谢
    2020年12月30日 9:19
  • 您好,

    不客气,感谢您的支持。如有任何其他问题,欢迎再次来此发帖。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月30日 9:59