none
用户配置的GPO能不在服务器上执行? RRS feed

  • 问题

  • 环境中有一条映射打印机的GPO是配置在用户配置下面,能否在这个用户登录服务器的时不应用这个GPO?因服务器无法连接到这个打印机会导致用户登录一直卡在“applying group policy printers policy”这步
    2021年3月10日 13:52

答案

  • 你好,

    可以。

    部署组策略的时候可以使用security filter来过滤服务器。

    首先将可以连接打印机的服务器放入一个安全组,比如打印机组,将所有需要此条策略的用户放入一个安全组比:如打印机用户

    在GPO的delegation 下删除authenticated users 组,加入服务器的打印机组,给与读取的权限;加入用户组:打印机用户,给与读取以及应用组策略的权限。

    然后更新组策略,用户则不会在没有读取权限的计算机上应用该GPO.

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Air_9 2021年3月11日 12:12
    • 取消答案标记 Air_9 2021年3月11日 12:12
    • 已标记为答案 Air_9 2021年3月11日 12:12
    2021年3月11日 0:52
  • 你好,

    你的目的是防止用户在一部分计算机上应用组策略,所以添加的是计算机组。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Air_9 2021年3月18日 8:39
    2021年3月17日 6:56

全部回复

  • 你好,

    可以。

    部署组策略的时候可以使用security filter来过滤服务器。

    首先将可以连接打印机的服务器放入一个安全组,比如打印机组,将所有需要此条策略的用户放入一个安全组比:如打印机用户

    在GPO的delegation 下删除authenticated users 组,加入服务器的打印机组,给与读取的权限;加入用户组:打印机用户,给与读取以及应用组策略的权限。

    然后更新组策略,用户则不会在没有读取权限的计算机上应用该GPO.

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Air_9 2021年3月11日 12:12
    • 取消答案标记 Air_9 2021年3月11日 12:12
    • 已标记为答案 Air_9 2021年3月11日 12:12
    2021年3月11日 0:52
  • 打印机的GPO是给所有PC机用的,所有服务器都不需要连接打印机。

    这条策略是应用全局的,这样放允许策略工作量很大。能把不需要连接打印机的服务器放在一个组去拒绝应用这个GPO可以吗?

    2021年3月11日 12:14
  • 你好,

    可以应用deny的配置来这样操作。

    比如:在Delegation下面保持Authenticated users 有read /apply group policy 权限

    添加不需要连接打印机的工作组进去,然后勾选deny 下面的apply group policy 权限。注意Deny下面不要勾选read权限。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2021年3月11日 23:43
  • 这样操作,组里面是添加计算机还是用户呢?还是都可以
    2021年3月17日 6:30
  • 你好,

    你的目的是防止用户在一部分计算机上应用组策略,所以添加的是计算机组。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Air_9 2021年3月18日 8:39
    2021年3月17日 6:56
  • 测试可用,谢谢了
    2021年3月18日 8:39