質問:私たちは微調整に必要がある場合はGPののみに適用OU 行う方法を、ターゲットとして、オブジェクトのサブセットでは?私たちは、全体の再設計する必要がありますかOUの概念を?
:必ずしも、デフォルトでは、グループポリシーを調整するために使用することができる2つの種類もたらすGP セキュリティフィルタリングと項目レベルのターゲット:ツールは、アプリケーションの範囲を。
セキュリティのスクリーニング:これは(ターゲットグループポリシーオブジェクトのターゲットを調整する権限のほんの一部である= ポリシー、ユーザーとコンピュータの範囲内で)。ユーザーとコンピュータのニーズオブジェクトを持っているが、「読み」と「グループポリシーの適用」の成功のアプリケーションへのアクセス許可をGPO 。我々が持っている場合は、「ロックダウン」GPの最小のデスクトップを、および適用される「ManufacturingOUを」、OU のすべてのオブジェクトが影響を受けます。ロックダウン-GPは唯一の複数のターゲットに適用され、我々は、作成することができ、Active Directoryのグループにグループ、ターゲットオブジェクトを、その後にGP の『適用範囲』のスクリーンショットに示すように、セキュリティフィルタリング設定]タブを変更します:
当社からは「安全フィルタ」削除タブ「認定ユーザー」 とは、当社のセキュリティグループをターゲットに追加します。別のアプローチは伴うだろう「デリゲート」タブを。それはのために示していますGPO 適切な権限。場所をクリックし、「アドバンスド」ボタン、あなたが開くことがありNTFSのアクセス権は、アクセス制御エディタに精通しています:
あなたは、ロックグループが持っている見ることができる「読み」と「グループポリシーの適用」の権限を。使用ACL :エディタは、あなたも別の方法を採用することができ、「認証されたユーザが」許可のグループとユーザーのリストに残っていると、特定の設定を拒否した「読み」と「グループポリシーの適用」を防止するための権限彼らが適用されたGPOを。
WMI筛选:您可以通过在GPO上应用WMI筛选器来进一步筛选策略范围。WMI筛选器在执行有问题的GPO之前运行。如果过滤器评估为“ TRUE”,则将应用GPO,否则将忽略该GPO。一个典型的用例是用于不同操作系统的GPO。右键单击GPMC中的“ WMI筛选器”节点,然后使用WQL语法创建一个新的WMI筛选器。针对Windows Vista的示例为:
SELECT Version, ProductType FROM Win32_OperatingSystem WHERE Version >= ‘6.0′ AND ProductType = ‘1′ .
之后,打开有问题的GPO的“范围”选项卡,然后在“ WMI筛选器”部分中选择Vista-WMI筛选器。GPO将仅应用于Vista计算机,然后过滤器将其评估为“ true”,仅适用于这些计算机。显然,您需要知道如何创建WQL查询。Scriptomatic是将WQL查询放在一起的一个巨大帮助
现在,有了“组策略首选项”,还有另一种方法可以过滤目标上的策略。称为“ 项目级定位 ”。顾名思义,您现在可以为在GP偏好设置中配置的每个设置定义过滤器。您没有看错:对于每种设置。安全筛选和WMI筛选用于按GPO筛选–项级别的目标是按设置进行的。这样一来,您就可以配置一个具有多个GP首选项的GPO,但仅根据过滤器及其评估应用其中的一部分。您将在哪里添加这些过滤器?检查GPP的“公用”选项卡:
您需要勾选“项目级定位”复选框以启用该按钮。打开“定位…”后,您将看到以下编辑器:
我已经为您打开“新建项目”菜单,因此您可以看到GPP中可以过滤的所有选项。没错,您可以过滤GPP项(在具有其他GPP和GP设置的GPO中)仅在以下情况下适用:例如……用户位于安全组 “帮助台”中,并且计算机名称为“ XP-00233”,是在上午8点到下午5点之间(时间范围),并且用户处于终端会话上,在Windows XP(作为操作系统)上具有特定的会话名称,并且在系统分区上具有20GB的可用磁盘空间。好吧,从理论上讲,您可以。如果这确实有用,则取决于您。
项目级定位编辑器使您可以根据屏幕快照中显示的“新项目”条件形成过滤器。您可以使用布尔逻辑(“与”,“或”,“不”)来组合过滤器,以实现复杂的逻辑:
在可以在文本框中输入字符串的任何地方,都可以按F3键以获得GPP可以理解的已知环境变量的列表。这样可以更轻松地(例如)创建文件匹配规则,因为您可以使用本地系统将其转换为实际路径的“ CommonAppDir”,“ CommonStartUpDir”或“ ProgramFilesDir”变量。
考虑一下您可以在单个GPO中使用的配置,并针对已定义的不同设置进行项目级定位-仅需一秒钟:
-在一个GPO中创建多个GPP映射的驱动器,并根据组成员身份应用它们(比编写脚本更容易!)
-根据其时间(工作时间与非工作时间!)将不同的GPP应用于目标。
-根据用户的站点或IP地址创建和部署不同的打印机/快捷方式/文件
-在特定时间范围内的给定日期应用GPP。
-根据用户的语言复制文件。
现在你怎么说?值得一看吧?