在群組原則管理中, 除了透過「LSDOU」的套用順序(Local > Site > Domain > OU)、繼承與優先權來管理原則的套用方式之外, 若需更細緻地控制 GPO的套用對象, 例如僅針對特定使用者群組或電腦進行套用, 可以使用安全性篩選的方式來達成, 以下是三種常見的安全性篩選應用方式的說明:
1. 套用群組原則權限
每個 GPO都具有一組存取控制清單(ACL), 其中套用群組原則權限是關鍵, 預設情況下, Authenticated Users群組會被指派此權限, 也就是 GPO會套用到該容器下的所有使用者與電腦:
。移除 Authenticated Users的套用群組原則權限w-studio.idv.tw
。將特定的使用者或電腦群組加入, 並授予「讀取」與「套用群組原則」權限
。GPO僅會套用至擁有這些權限的對象, 而非整個 OU內所有物件
2. 只套用至特定全域群組的使用者
若希望 GPO僅針對某些全域安全性群組中的使用者或電腦生效, 可以透過以下步驟設定:
。建立一個全域安全性群組, 將需要套用 GPO的使用者或電腦加入該群組
。在 GPO的「安全性篩選」中, 移除 Authenticated Users, 加入該自訂的安全性群組
。確保該群組擁有「讀取」與「套用群組原則」權限
。GPO僅會套用給群組內的成員, 其他同 OU的使用者/電腦不受影響
3. 只排除特定全域群組的使用者
若大部分對象都應套用 GPO, 僅少數例外不需要套用, 則可以採用「拒絕套用」權限進行排除:
。建立一個包含例外使用者或電腦的全域安全性群組
。在 GPO的「委派」標籤中加入該群組並設定「拒絕」權限中的「套用群組原則」
。注意「拒絕」權限會優先於「允許」權限, 因此即使該對象屬於其他被授權的群組, 只要被設為拒絕, GPO就不會套用
。除了被排除群組外的所有其他物件都會正常套用該 GPOw-studio.idv.tw
使用安全性篩選時, 建議搭配「群組成員」設計來維持管理彈性與可讀性, 例如利用名稱明確的群組來反映其 GPO套用目的, 這樣便於日後維護與審核
沒有留言:
張貼留言