Применение групповой политики к группам безопасности

Надлежащий способ добавить GPO к группе безопасности:

Настройте группу путем добавления намеченных участников на нем (учетные записи компьютера или учетные записи пользователей)

Создайте свой GPO и свяжите его достаточно высоко так, чтобы он применялся на все намеченные объекты

Удалите "Аутентифицируемых пользователей" из панели Scope в GPMC и добавьте группу, которая должна применить его. Вы не должны использовать раздел повышенной безопасности, чтобы сделать это, и это менее опасно как это (никакой шанс заблокировать себя).

Если Вы связываете GPO на вершине домена, удостоверяетесь установку фильтрации перед редактированием GPO, таким образом, это не становится прикладным везде.

Если это - компьютерная политика, компьютеры должны быть перезагружены, после того как они добавляются к группе, еще когда GPO обновляется, компьютер еще не аутентифицируется в новой группе, и GPO не будет применен.

Вы не можете подать заявку, GPOS группам - как Вы сказал, Вы применяете их к компьютеру и пользовательским объектам.

И Ваш компьютер и пользовательские объекты будут где-нибудь в Вашей структуре Active Directory, таким образом, необходимо просто применить GPOS непосредственно к OUs, где объекты живут.

Если весь Ваш пользователь и компьютерные объекты находятся только в их контейнерах по умолчанию, это могла бы быть хорошая возможность добавить немного структуры к Вашему Active Directory с дополнительным OUs.

Если Вы хотите сделать своего рода ограничение на GPOS в зависимости от того, каких групп безопасности пользователь/компьютер является членом, можно отредактировать свойства безопасности каждого GPO и добавить соответствующую группу (т.е. Может изменить экранную заставку), и установите разрешение Read Отклонить.