Применение GPO через группы безопасности
Я новичок в GPO. Я хотел бы применить политику к конкретным машинам в разных подразделениях, и мне интересно, как это сделать. Например.
Машины 1,2,3 находятся в (безопасности) группе 1 (M1, M2, M3, G1)
Машины 4,5,6 относятся к группе (безопасности) 2 (M4, M5, M6, G2)
Нечетным машинам нужен GPO1, и даже машинам нужен GPO2
Я подумал, что если бы я поместил нечетные / четные машины в разные группы безопасности (G1, G2), я смог бы назначить GPO, который должен применяться с помощью фильтрации безопасности. Однако, это не так.
Как можно / следует подойти к этой проблеме?
Не забудьте удалить «Авторизованные пользователи» из фильтрации безопасности, потому что все ваши пользователи И компьютеры находятся в «Авторизованных пользователях».
Если вы не удалите «Авторизованные пользователи» ", даже если вы добавите свои группы в фильтрацию безопасности, они вообще ничего не будут фильтровать ...
Компьютеры необходимо перезагрузить, чтобы подтвердить членство в группе, или вы можете использовать klist -lh 0 -li 0x3e7 purge на компьютерах, чтобы обновить билеты Kerberos и членство в группах.
Кроме того, это применимо только для компьютерных политик. Пользовательские политики потребуют включения кольцевой обработки групповой политики пользователей.
В целях тестирования вы также должны подтвердить, добавляете ли компьютер (ы) непосредственно в фильтрацию Scope, чтобы убедиться, что это работает. В противном случае проблема не связана с членством в группах.