Question: If we need to fine-tune the GP application only to OU in a subset of objects as a target, how to do? Do we need to redesign the whole OU concept?
A: Not necessarily, by default, Group Policy will bring two kinds can be used to adjust the GP tools range of applications: security filtering and item-level targeting.
Security Screening : This is just part of the authority to adjust the target (target Group Policy object = within the scope of a policy users and computers). The user and the computer needs to have an object " read " and " Apply Group Policy " permission to the successful application GPO . If we have a "LockDown" GP desktop to a minimum, and applied "ManufacturingOU" , the OU All objects are affected. To LockDown-GP only apply to multiple targets, we can create an Active Directory group, the target object into the group, and then in the GP 's "Scope" to modify the security filtering settings tab, as shown in the screenshot:
From our " safety filter " delete tab " Authorized Users " and add target our security group. Another approach would involve " delegate " tab. It lists for GPO correct permissions. Click where the " Advanced " button, you may have to open the NTFS permissions are familiar with Access Control Editor:
You can see the lock group has " read " and " Apply Group Policy " permissions. Use ACL Editor, you can even adopt another way: the " authenticated user " remain in the group and user lists of allowed and refused to set a specific " read " and " Apply Group Policy " permissions to prevent they applied GPO .
WMI筛选:您可以通过在GPO上应用WMI筛选器来进一步筛选策略范围。WMI筛选器在执行有问题的GPO之前运行。如果过滤器评估为“ TRUE”,则将应用GPO,否则将忽略该GPO。一个典型的用例是用于不同操作系统的GPO。右键单击GPMC中的“ WMI筛选器”节点,然后使用WQL语法创建一个新的WMI筛选器。针对Windows Vista的示例为:
SELECT Version, ProductType FROM Win32_OperatingSystem WHERE Version >= ‘6.0′ AND ProductType = ‘1′ .
之后,打开有问题的GPO的“范围”选项卡,然后在“ WMI筛选器”部分中选择Vista-WMI筛选器。GPO将仅应用于Vista计算机,然后过滤器将其评估为“ true”,仅适用于这些计算机。显然,您需要知道如何创建WQL查询。Scriptomatic是将WQL查询放在一起的一个巨大帮助
现在,有了“组策略首选项”,还有另一种方法可以过滤目标上的策略。称为“ 项目级定位 ”。顾名思义,您现在可以为在GP偏好设置中配置的每个设置定义过滤器。您没有看错:对于每种设置。安全筛选和WMI筛选用于按GPO筛选–项级别的目标是按设置进行的。这样一来,您就可以配置一个具有多个GP首选项的GPO,但仅根据过滤器及其评估应用其中的一部分。您将在哪里添加这些过滤器?检查GPP的“公用”选项卡:
您需要勾选“项目级定位”复选框以启用该按钮。打开“定位…”后,您将看到以下编辑器:
我已经为您打开“新建项目”菜单,因此您可以看到GPP中可以过滤的所有选项。没错,您可以过滤GPP项(在具有其他GPP和GP设置的GPO中)仅在以下情况下适用:例如……用户位于安全组 “帮助台”中,并且计算机名称为“ XP-00233”,是在上午8点到下午5点之间(时间范围),并且用户处于终端会话上,在Windows XP(作为操作系统)上具有特定的会话名称,并且在系统分区上具有20GB的可用磁盘空间。好吧,从理论上讲,您可以。如果这确实有用,则取决于您。
项目级定位编辑器使您可以根据屏幕快照中显示的“新项目”条件形成过滤器。您可以使用布尔逻辑(“与”,“或”,“不”)来组合过滤器,以实现复杂的逻辑:
在可以在文本框中输入字符串的任何地方,都可以按F3键以获得GPP可以理解的已知环境变量的列表。这样可以更轻松地(例如)创建文件匹配规则,因为您可以使用本地系统将其转换为实际路径的“ CommonAppDir”,“ CommonStartUpDir”或“ ProgramFilesDir”变量。
考虑一下您可以在单个GPO中使用的配置,并针对已定义的不同设置进行项目级定位-仅需一秒钟:
-在一个GPO中创建多个GPP映射的驱动器,并根据组成员身份应用它们(比编写脚本更容易!)
-根据其时间(工作时间与非工作时间!)将不同的GPP应用于目标。
-根据用户的站点或IP地址创建和部署不同的打印机/快捷方式/文件
-在特定时间范围内的给定日期应用GPP。
-根据用户的语言复制文件。
现在你怎么说?值得一看吧?
