1、先說說為啥不通過OU,而是通過group下發政策
額,公司戰略。(這樣說友善提升一下檔次,哈哈)開個玩笑啊。主要是公司現在各個應用系統和管理系統都有自己的一套賬戶體系,管理麻煩,使用者也會混亂,是以才會有這麼個想法去把使用者體系建立在AD上,這樣就友善統一管理,但是每個應用(開源之類)都有自己同步使用者的規則,為了友善,最終決定把組織結構拍平,所有使用者都在一個OU下,是以這就導緻了這樣一個問題(還得寫腳本導入使用者,苦逼啊),原先我的使用者都有自己的OU,政策的下發都是作用在OU上的,以前好像也記得政策是沒辦法在group上生效的,這個咋整?沒辦法,隻能找資料呗,然後我就找啊找,就找到以下兩篇,不廢話,直接上網址:
http://bbs.51cto.com/thread-1415164-1-1.html
https://docs.microsoft.com/en-us/windows/access-protection/windows-firewall/assign-security-group-filters-to-the-gpo
2、有前輩經驗,那就自己實驗起來
在實際開始做之前,其實還是被網絡上不能這麼操作的聲音影響的,因為包括很多大神都說不行,說最小單元隻能是OU,然後隻有微弱的聲音說可以,我隻能一臉懵逼,我能怎麼辦,我也隻是個小菜鳥。
找到了這兩篇文檔,尤其是微軟的這篇官方文檔,那就說明沒問題,肯定是可以的(PS:是以還是得看官方的說法,其他都不靠譜),撸起袖子加油幹。
3、不啰嗦,幹貨開始(測試)
(1)建立一條測試政策,testgroup,設定如下(隻是測試,随便定義的)
(2)填寫作用域和篩選
嚴重注意!!!成敗關鍵!!!!一定要将政策連結到你的域!!!!!
(3)到客戶機上重新整理政策(gpupdate /froce),檢視組政策作用結果(gpresult -r)或者通過rsop.msc檢視
(4)這樣就成功了,無論你的賬戶,計算機在哪個OU下,你隻要關注,哪個政策對應哪個安全組就行了
4、一些感想
先說說為啥會把這個寫出來,第一是覺得這個坑了自己,而網絡上相關的比較少,是以為了大家少走坑;第二個就是,前段時間看一篇文章,是不是關于李笑來的,忘了,說:還是應該學會寫文章,哪怕再爛都應該寫出來,對自己的自信心,邏輯上,組織上等都有潛移默化的幫助。這是我寫這個的原因
另一個要注意的事,看東西一定要仔細,我就是直到今天再回看那邊文章的時候才發現一定要作用到域上,前幾天就一直不成功,是以,還是得提醒自己仔細點。
本人是小菜,有啥問題可以探讨(雖然一不定懂)
2017/9/21
重要補充!!!
今天又踩到坑,近些天發現,按照這個方法實施組政策,然後政策竟然沒有生效。。。。。
找了一圈網上資料,沒有相關的資訊,隻能自己測試研究,哎
最後發現:如果政策隻是針對使用者,并不是在篩選中添加對應的使用者群組就OK了,還要添加該政策生效的使用者可能登入的計算機,也要添加到篩選裡來。
就這麼浪費了一天時間去折騰這個。。。。。。。。貼出來讓大家少踩坑